48 3052-8500

Ransomware: malwares que sequestram dados - OSTEC | Segurança digital de resultados

Aprendizado e descoberta 7min de Leitura - 09 de março de 2020

Ransomware: malwares que sequestram dados

Tela de computador exibindo várias pequenas telas com linguagem de programação.

This post is also available in: Português Español

Você provavelmente já leu o termo ransomware em algum lugar, mas você sabe realmente do que se trata?

Existem vários tipos de malware e o ransomware é um deles. Diferentemente de alguns malwares, que conseguem ser sutis e permanecer ocultos pelo maior tempo possível, o ransomware restringe os dados da vítima imediatamente, exigindo pagamento de resgate, para liberação dos mesmos.

Continue sua leitura deste blog post e entenda um pouco mais sobre ransomware, incluindo história, tipos e dicas para manter pessoas e empresas longe dessa ameaça.

O que é ransomware?

O ransomware é um código malicioso que infecta dispositivos, mediante ação executada pelos usuários, ou por vulnerabilidade existente no sistema operacional.

Esse malware criptografa os dados e indisponibiliza totalmente o dispositivo infectado, sendo este liberado, mediante pagamento do resgate.

O resgate geralmente é cobrado em bitcoin ou outro tipo de moeda virtual, para dificultar o rastreamento do pagamento.

É por isso que ataques ransomware são também conhecidos como ataques de sequestro de dados, pois o objetivo principal é sequestrar os dados das vítimas e solicitar resgate para liberação dos mesmos.

A história do ransomware

O primeiro ransomware foi criado em 1989 por Joseoh L. Popp, um biólogo revolucionário com PhD em Harvard.

Denominado de AIDS, esse programa enganava os usuários, informando-lhes que a licença de determinado software havia espirado. Ele criptografava os arquivos do disco rígido e exigia que as vítimas pagassem uma quantia de US$ 189 em troca do desbloqueio de seus arquivos.

Porém, os ataques ransomware não eram tão bem-sucedidos como os de hoje são.

Naquela época, a maior parte dos usuários da internet eram especialistas da área da ciência e tecnologia e existiam poucas pessoas que possuíam computadores pessoais.

Além disso, os pagamentos internacionais eram mais difíceis de processar e a tecnologia de criptografia não era tão evoluída como a da atualidade.

Os primeiros casos foram registrados na Rússia, em 2005 e, desde então, os golpes se espalharam pelo mundo.

Em setembro de 2013, o CryptoLocker surgiu e atingiu todas as versões do Windows, infectando milhares de computadores pessoais e sistemas corporativos.

As vítimas eram infectadas através de e-mails que pareciam ser de serviços de atendimento aos clientes da FedEx, UPS, DHS e outras empresas.

Assim que ativo, o contador do malware na tela exigia o pagamento médio de US$ 300 em 72 horas.

A equipe de resposta a emergências de tecnologia dos Estados Unidos alertou que o malware conseguia passar de uma máquina para outra e pediu que os usuários de computadores infectados desconectassem imediatamente as maquinas infectadas de suas redes.

Tipos de ataque de ransomware

Há muitos métodos tecnológicos utilizados para a aplicação do ransomware, mas duas se destacam: o Crypto-ransomware e o locker-ransomware.

Crypto – ransomware

São os tipos de ataque que utilizam a criptografia como base para o sequestro de dados. Esse tipo de ransomware é o que mais tem aparecido nos últimos anos.

O principal motivo desse tipo de ataque crescer tanto é a evolução dos processadores, tanto de computadores quando de smartphones. Eles entregam um poder de processamento suficiente para a rápida criptografia de dados.

Outro motivo é relacionado a dificuldade que esse método impõe para recuperação de dados, afinal, somente quem tem as chaves criptográficas consegue descriptografar as informações.

Mesmo que a vítima consiga remover o ransomware do seu sistema operacional, os arquivos continuam criptografados, aumentando assim as chances de a vítima pagar o resgate.

Os cibercriminosos, geralmente, pedem valores baixos pelo resgate, fazendo com que a vítima pense no custo benefício entre pagar, investir em recuperação ou perder os dados.

A aposta desses cibercriminosos é no ganho de quantidade de vítimas e não em um único resgate.

A cobrança de resgate só é alta quando o crypto-ransomware consegue paralisar o sistema inteiro de uma empresa.

Dependendo do tamanho da corporação, os cibercriminosos chegam a cobrar centenas de milhares de dólares pelo resgate.

Locker – ransomware

Como o nome sugere, são aqueles que bloqueiam o acesso aos dados.

São menos complexos do que os crypto-ransomware, mas nem por isso são mais fáceis de reverter.

O bloqueio pode ser feito de várias maneiras, sendo que as mais comuns trabalham com a mudança de senha ou por meio da exibição de uma tela que impede o acesso ao login.

Há casos em que são utilizados em um único ransomware as duas metodologias: locker e crypto ao mesmo tempo.

Apesar de agirem de maneiras diferentes, ambas têm a mesma finalidade: exigir pagamento pelo resgate dos dados.

Principais tipos de ransomware

Já apresentamos o que é um ransomware, sua história e as duas principais variações. Agora, serão apresentados os principais tipos de ransomware.

GoldenEye

Sendo um dos mais conhecidos em todo o mundo, foi responsável por um shutdown completo, travando todos os sistemas Ucranianos.

O ataque atingiu redes bancárias, o sistema do maior aeroporto do país e a principal companhia elétrica, sendo esses, três pontos cruciais para a sociedade e se mostraram extremamente vulneráveis.

O GoldenEye é uma evolução dos ransomware, pois, ao contrário do CryptoLocker, que encripta arquivos de um dispositivo, o GoldenEye consegue fazer isso com sistemas inteiros, trazendo prejuízos gigantes.

Ele é extremamente agressivo, impede que as máquinas sejam iniciadas e que as vítimas consigam, de alguma forma, acessar ou recuperar os dados sequestrados, causando parada completa da estrutura atingida.

WannaCry

Foi um ataque de repercussão mundial aos ransomwares, tendo destaque nos veículos de mídia nos quatro cantos do mundo.

O WannaCry foi o ataque responsável por travar a infraestrutura de um hospital no Reino Unido e outros sistemas mundo afora.

Baseado em uma falha de segurança descoberta pela NSA, foi o grande responsável por um apagão na internet.

Os cibercriminosos pediam US$ 600 dólares para desbloquear o conteúdo de cada computador.

Foi um grande susto mundial, as empresas e órgãos governamentais que não foram atingidos, correram para buscar soluções de proteção.

A solução para o WannaCry foi distribuída pela Microsoft, por meio de um patch de segurança, que garante proteção para todos os dispositivos que utilizam sistema operacional a partir da versão Windows 7.

Locky

O Locky promove um ataque quase que imperceptível, sem apresentar sinais aos usuários.

Seu diferencial vai além de bloquear acesso a arquivos, ele impede que a vítima consiga abrir sua carteira de Bitcoins, armazenada em um determinado computador, pen drive ou servidor infectado.

A melhor maneira que uma empresa tem para se prevenir dessa ameaça é realizando um backup, pois não foram encontrados meios seguros de recuperação caso o sistema seja atacado pelo Locky.

Petya

Assim como o GoldenEye, o Petya consegue ir muito além dos arquivos, tornado indisponível o dispositivo infectado.

A diferença entre ambos é o local em que o ataque é executado. O GoldenEye ataca o Master Tablet Files e o Petya vai diretamente no Master Boot Records e consegue resultados devastadores.

O primeiro sinal de que seu sistema está infectado com esse ransomware, é quando a vítima liga o computador e dá de cara com um desenho de uma caveira com dois ossos cruzados.

A vítima entra em desespero tentando recuperar seus dados e os cibercriminosos, claro, tentam lucrar o máximo possível mediante a situação.

zCrypt

Diferente dos outros ransomwares, o zCrypt se comporta como um vírus clássico. Ele não é adquirido por meio de um anexo de e-mail falso ou de outros downloads de procedência duvidosa.

A forma mais comum de infecção desse tipo de ataque é por meio de contato com hardwares infectados.

Em primeiro momento o zCrypt não ataca diretamente os arquivos, ele vai em busca dos que foram atualizados recentemente, para potencializar o impacto.

Outra coisa que esse tipo de ransomware faz é embaralhar os arquivos, tornando a recuperação nos modelos tradicionais quase impossível.

CryptoWall

Esse é um ransomware com enorme capacidade de disseminação orgânica e, cada vez mais, aumenta a sua incidência em sistemas corporativos.

Começou a circular em 2014 e apresenta múltiplas formas de encriptação como diferencial.

Ele embaralha os arquivos, muda os nomes e dificulta ao máximo sua recuperação.

A única forma de prevenção é realizar backup.

Jigsaw

Sim, esse ransomware é inspirado na franquia de filmes “jogos mortais”. O Jigsaw Ransomware também tem causado pânico mundo afora.

Apresentando-se com uma saudação, seguida de um pedido de resgate.

Os cibercriminosos exigem um valor em dólares, convertidos em Bitcoin, que deve ser pago em 24 horas após o aviso, caso contrário, todos os arquivos serão deletados em até 72 horas.

Para que as vítimas se sintam pressionadas, o ataque promove a exclusão gradual dos arquivos até que o valor seja pago.

Como se proteger dos ransomwares?

Os cuidados relacionados aos ransomwares não são muito diferentes das medidas de segurança recomendadas no combate a outros tipos de malwares.

Veja a seguir algumas práticas indicadas para se prevenir:

  • Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais. O teor desse tipo de e-mail induz usuários desavisados a clicar no link ou anexo;
  • Esse cuidado também é necessário nas redes sociais e serviços de mensagens instantâneas, como Facebook e WhatsApp, por exemplo. Mesmo que a mensagem venha de uma pessoa conhecida, o dispositivo pode ter sido comprometido e a mensagem enviada de forma automática;
  • Nunca baixe arquivos de sites suspeitos;
  • Mantenha o sistema operacional e aplicativos sempre atualizados.
  • Ative recursos de segurança e privacidade do seu navegador;
  • Tome cuidado com plug-ins ou extensões para navegadores;
  • Utilize dispositivos de segurança no perímetro da rede (Firewall)
  • Use softwares de segurança (principalmente antivírus) de empresas com boa reputação;
  • Evite usar serviços públicos de WiFi. Algumas redes podem redirecionar seu navegar para sites falsos sem que você perceba;
  • Faça backup (cópia) de seus arquivos regularmente. Assim você pode recuperá-los facilmente em caso de sequestro de dados.

Como as empresas podem se proteger dos ransomwares?

As empresas e outras organizações correm grandes riscos de ter seus dados comprometidos por ransomwares, paralisando seus negócios. Por isso, os cuidados devem ser redobrados.

  • Oriente os funcionários sobre os cuidados citados no tópico anterior;
  • Monitore a rede e proteja-as com mecanismos específicos para cada finalidade, como e-mails, web, transações de pagamento e etc.;
  • Mantenha todo o parque tecnológico atulizado;
  • Crie regras e procedimentos de segurança para tornar o ambiente corporativo mais seguro;
  • Controle com rigor o acesso a sistemas e internet;
  • Revise políticas de segurança, ferramentas de proteção e módulos dos sistemas periodicamente;
  • Faça backup rotineiro, especialmente de dados críticos. Isso é de extrema importância;
  • Por fim, tenha um bom firewall instalado.

Os ransomwares, além de perigosos, podem trazer muita dor de cabeça e prejuízos financeiros.

É importante manter seus dispositivos e redes seguras para não se tornar alvo de cibercriminosos.

Conheça os produtos e serviços desenvolvidos pela OSTEC e saiba como podemos auxiliar você a deixar seu negócio menos suscetível a ação deste tipo de ameaça virtual.

This post is also available in: Português Español

Spyware: o software espião

Postagem anterior