Como você é infectado por ransomware?

Nos últimos anos, a taxa de ataques cibernéticos continuou a atingir um crescimento recorde, aproveitando indivíduos ou empresas com práticas inadequadas de segurança cibernética. Esses ataques afetaram saúde, governo, finanças e grandes empresas em todo o mundo. Desses ataques cibernéticos, o ransomware está consistentemente no topo da lista de ameaças cibernéticas mais comuns, com cerca de 623 milhões de incidentes em todo o mundo em 2021.

É importante entender como o ransomware pode infectar um sistema para que você possa minimizar sua superfície de ataque. Ter uma forte segurança da informação pode reduzir significativamente o risco de se tornar vítima de ransomware. Nesta postagem, discutimos algumas das maneiras mais comuns pelas quais os sistemas são infectados por ransomware e descrevemos estratégias de defesa para ajudá-lo a evitar se tornar uma vítima.

O que é Ransomware?

Ransomware é um tipo de malware destinado a roubar e criptografar arquivos, dados confidenciais ou informações de identificação pessoal (PII) para impedir que as vítimas acessem esses arquivos até que uma taxa ou resgate seja pago. Os invasores de ransomware usam táticas de extorsão para forçar as vítimas a fazer pagamentos de resgate e geralmente visam aqueles com práticas de segurança inadequadas ou vulnerabilidades não corrigidas. Depois que os hackers obtêm acesso a uma rede, eles podem injetar software malicioso contendo a carga útil do ransomware no computador ou dispositivo móvel da vítima.

Sem uma chave de descriptografia, é quase impossível recuperar arquivos que foram criptografados com ransomware. As infecções por ransomware podem ser especialmente devastadoras para empresas que dependem de dados criptografados para manter suas operações diárias. Se o resgate não for pago em um prazo especificado, os arquivos podem ser perdidos permanentemente ou até mesmo expostos ao público.

Hoje, muitos cibercriminosos exigirão criptomoedas como o Bitcoin como pagamento de resgate, um sistema de pagamento descentralizado conhecido por sua capacidade de ocultar atividades financeiras. Embora rastrear pagamentos de resgate na blockchain de criptomoedas seja difícil, certamente não é impossível.

Identificando diferentes tipos de ransomware

Embora existam muitas formas diferentes de ransomware, essa ameaça cibernética pode ser dividida em quatro categorias principais:

1. Crypto/Encryptors - Encryptors são o tipo mais comum de ransomware, criptografando todos os dados de destino e exigindo uma chave de descriptografia para desbloquear.
2. Lockers - Em vez de impedir o acesso a arquivos ou aplicativos, os Lockers impedem o uso de todo o dispositivo. Normalmente, uma tela de bloqueio exibe detalhes da nota de resgate com um cronômetro para criar urgência.
3. Scareware - O scareware finge um problema em computadores, como detectar vírus ou malware. O software direcionará o usuário para uma página para "resolver" o problema e roubar seu cartão de crédito ou outras informações pessoais.
4. Doxware/Leakware - O Doxware geralmente tenta enganar o usuário ou a empresa para que pague, ameaçando divulgar informações confidenciais online, como arquivos confidenciais ou propriedade intelectual.

O ransomware tornou-se cada vez mais popular entre os golpistas nos últimos anos. Os hackers começaram a vender seus serviços para aqueles que não têm tempo ou capacidade para criar seu próprio malware. Isso é conhecido como Ransomware-as-a-Service (RaaS), um serviço de assinatura de software de ransomware semelhante a um modelo de Software-as-a-Service (SaaS).

Saiba mais sobre o Ransomware-as-a-Service >

Como você é infectado por ransomware?

Existem algumas maneiras diferentes de ser infectado por ransomware. Ao entender os vários vetores de ataque que os cibercriminosos usam para injetar malware, você pode criar uma melhor conscientização sobre segurança e evitar se tornar o mais recente em uma linha de vítimas de ransomware.

1. E-mails de phishing

Os ataques de phishing são a principal causa de infecções por ransomware. No relatório Cybersecurity Threat Trends de 2021 da Cisco, eles descobriram que o phishing foi responsável por cerca de 90% de todas as violações de dados bem-sucedidas, levando a bilhões de dólares em danos.

Os usuários podem ser infectados por um e-mail de phishing de duas maneiras:

• Abrir ou baixar anexos de e-mail maliciosos (PDFs, aplicativos .exe, documentos do Word .zip arquivos e muito mais)
• Clicar em links infectados que levam a sites maliciosos (spyware, cavalos de Tróia, keylogging)

Recentemente, surgiu uma variante do phishing, chamada "smishing". " Smishing envolve golpistas tentando induzi-lo a expor informações pessoais por meio de uma série de mensagens de texto SMS. Essas mensagens de texto automatizadas normalmente contêm uma imagem ou link que o direciona a um site para inserir informações confidenciais ou baixar arquivos de malware executáveis diretamente em seu telefone.

2. Páginas da Web infectadas

Os usuários também devem praticar a navegação segura na web, pois os URLs infectados são comumente usados para distribuir ransomware. Clicar em um desses links, seja por e-mail ou site não verificado, pode acionar automaticamente um download de ransomware para o seu disco rígido, também conhecido como "download drive-by". " Apenas visitar o site sem baixar nada pode levar a um ataque de ransomware.

Muitos sites de isca que imitam empresas legítimas podem ser identificados por meio de grafias incorretas no URL. Sempre verifique novamente os URLs passando o mouse sobre o link antes de clicar. Lembre-se de que alguns ataques avançados de phishing são muito difíceis de identificar. Se você estiver em dúvida, não clique no link!

3. Malvertising/Adware

Malvertising é uma forma de malware que promove falsamente um anúncio em um espaço publicitário legítimo. Mesmo em sites legítimos de grandes nomes, o malvertising pode parecer um banner real. O anúncio parece um anúncio típico, mas aciona um download de ransomware ou ataque de malware assim que você clica na imagem.

Semelhante a sites maliciosos, o malvertising está vinculado a um kit de exploração, que verificará seu sistema em busca de vulnerabilidades e instalará códigos maliciosos.

Tenha cuidado com anúncios que mostram:

• Ofertas gratuitas para um produto ou serviço
• Notificações de mensagens pendentes
• Vídeos ou animações
• Imagens adultas

4. Ataques de protocolo de área de trabalho remota (RDP)

RDP é uma função instalada nos sistemas operacionais Microsoft Windows que permite aos usuários se conectarem remotamente a outra rede ou servidor. Um ataque RDP é quando um hacker se infiltra no sistema, tentando roubar dados ou instalar ransomware. Uma vez dentro da rede ou sistema, eles podem excluir dados, substituir o software de segurança e baixar malware.

Os principais alvos incluem usuários com proteção de senha ruim ou segurança de endpoint e redes não seguras. Como mais de 90% do mundo usa o Microsoft Windows, há muitas oportunidades para os criminosos roubarem dados, principalmente de pequenas empresas.

5. Engenharia social

A engenharia social é a prática de enganar indivíduos desavisados para que revelem acidentalmente informações privadas ou confidenciais para usar contra eles. Em muitos casos, os golpistas se apresentam como partes legítimas para explorar o usuário, como fingir ser policial ou suporte de TI e solicitar informações pessoais.

Essa forma de crime cibernético pode se manifestar por meio de e-mails, mensagens de texto, salas de bate-papo online, telefonemas e até mídias sociais. Depois que os cibercriminosos obtêm as informações necessárias, eles podem usá-las para lançar ataques cibernéticos massivos, especialmente se as informações envolverem logins de rede ou outras credenciais importantes.

Como prevenir ataques de ransomware em 2023

Apesar do número crescente de ataques de ransomware, existem muitas maneiras de se proteger. Saiba mais aqui seguindo as melhores práticas de prevenção de ransomware.

• Faça backup de seus dados - SEMPRE mantenha um backup de seus dados mais importantes em um disco rígido externo ou servidor em nuvem. Siga a regra 3-2-1 mantendo 3 cópias separadas dos dados em 2 tipos de armazenamento diferentes e mantendo 1 cópia em algum lugar offline.
• Mantenha sistemas e aplicativos atualizados - Um dos maiores motivos pelos quais usuários e empresas são infectados com ransomware é que eles usam sistemas ou aplicativos desatualizados com protocolos de segurança antigos. Sem as atualizações mais recentes para proteger seus servidores de e-mail ou sistemas operacionais, os hackers podem facilmente tirar proveito das vulnerabilidades.
• Instale software antivírus e firewalls - O software antivírus e antimalware são as formas mais comuns que as pessoas usam para combater ameaças cibernéticas. Essas tecnologias geralmente incluem tecnologia de proteção contra phishing e ransomware e podem responder a ameaças em tempo real em um computador infectado. Os firewalls também são importantes para configurar, pois são a primeira linha de defesa contra ataques externos.
• Proteger todos os endpoints - os endpoints são extremamente importantes para proteger porque um endpoint vulnerável pode infectar uma rede inteira. Procure instalar plataformas de proteção de endpoint (EPP) ou detecção e resposta de endpoint (EDR) em seu computador.
• Segmentação de rede - Uma técnica para evitar ataques cibernéticos é implementar a segmentação de rede. Muitas grandes corporações devem incorporar a segmentação em suas redes para limitar a disseminação do ransomware caso sejam infectadas. Várias redes menores significam que é muito mais difícil para os cibercriminosos realizarem uma varredura limpa na empresa.
• Princípio de privilégio mínimo e modelo de confiança zero - Os privilégios do usuário devem ser continuamente revisados para limitar o acesso não autorizado a dados confidenciais. O privilégio mínimo fornece aos usuários apenas as permissões exatas de que precisam para trabalhar e nada mais. O modelo de confiança zero pressupõe que qualquer usuário, especialmente terceiros, não é confiável.
• Testes de segurança regulares - Como o cenário de segurança cibernética está em constante mudança, é importante acompanhar as novas tecnologias, bem como executar testes em suas medidas de segurança. As empresas geralmente contratam testadores de penetração para encontrar possíveis vulnerabilidades para que possam corrigi-las rapidamente.
• Treinamento de conscientização sobre segurança cibernética - Ter uma forte consciência de possíveis violações de segurança é uma das coisas mais fáceis e importantes que alguém pode fazer. Muitas vezes, é a prática mais básica, como criar senhas seguras, reconhecer anexos maliciosos em e-mails ou não enviar dados confidenciais por Wi-Fi público que mantém os usuários seguros.

Aprenda uma estratégia para se defender contra ataques de ransomware >

O que fazer se você for infectado por ransomware

Se você foi comprometido por ransomware, siga estas etapas imediatamente.

• NÃO pague o resgate. O pagamento incentiva os criminosos a continuar seu trabalho.
• Relate o ataque às agências de aplicação da lei apropriadas, como o FBI.
• Desconecte seu dispositivo ou computador de todos os Wi-Fi ou Bluetooth imediatamente.
• Identifique o ponto de entrada do ransomware.
• Alertar a empresa e outros usuários na mesma rede.
• Limpe o computador e instale backups.
• Use uma ferramenta de descriptografia de ransomware.

Ataques famosos de ransomware

• WannaCry - O WannaCry é um dos maiores ataques de ransomware da história em todo o mundo. Este ataque de 2017 prejudicou grandes empresas em todo o mundo, incluindo Taiwan Semiconductor Manufacturing Company, FedEx, Honda, Renault e vários governos indianos. De acordo com um relatório da Kaspersky, a paralisação ocorreu em quatro dias e causou danos estimados em US$4 bilhões.
• CryptoLocker - CryptoLocker foi um ransomware que funcionou principalmente de setembro de 2013 a maio de 2014. Ele usou um Trojan para atingir computadores Windows e procurou arquivos em nuvem para criptografar usando uma chave de criptografia assimétrica. Por fim, o CryptoLocker extorquiu com sucesso mais de US$3 milhões das vítimas.
• Petya/NotPetya - Petya é um ransomware de bloqueio, restringindo o acesso a todo o disco rígido. Esse malware se espalhou inicialmente por organizações ucranianas até se espalhar pela Europa e, eventualmente, pelos EUA. Os danos totais foram estimados em US $10 bilhões.
• Locky - Locky foi um ransomware anexado a documentos do Microsoft Word enviados por e-mail. Depois de abrir o documento, ele exibiu uma mensagem para baixar macros. Se aprovadas, as macros rapidamente varreram o sistema para criptografar arquivos para resgate. Ele infectou mais de 400.000 usuários apenas na primeira semana, incluindo o Hollywood Presbyterian Medical Center, que pagou 40 Bitcoin (~ US$17.000) para recuperar seus arquivos.
• Ryuk - Ryuk é outro ransomware em grande escala que tem como alvo sistemas baseados na Microsoft desde 2018. O ransomware se escondeu sob e-mails e documentos do Word falsificados. Algumas empresas de alto perfil que foram afetadas incluem Los Angeles Times, Tribune Publishing e vários hospitais nos EUA, Reino Unido e Alemanha.