O que é ransomware? {Como funciona e como evitá-lo}

O ransomware é o tipo de malware mais proeminente e perturbador que existe atualmente. Um único ataque pode causar danos de milhões de dólares e exigir centenas de horas de recuperação antes que a vítima possa começar a usar os dispositivos infectados novamente.

Este artigo é uma introdução ao ransomware e aos perigos do software de extorsão. Explicamos o que é esse malware e como ele funciona, examinamos o cenário atual de ransomware e oferecemos conselhos sobre a melhor forma de combater essa ameaça cibernética.

Definição de ransomware

Ransomware é um malware em constante evolução que bloqueia o acesso a arquivos ou dispositivos até que a vítima pague um resgate. A maioria dos ransomware usa criptografia para inutilizar os dados, permitindo que os invasores exijam dinheiro em troca da chave de descriptografia. Se a vítima ignorar a demanda, o invasor exclui a chave e, como resultado, inutiliza todos os dados criptografados.

O ransomware pode infectar um único PC ou dispositivo móvel, mas um ataque também pode atingir uma rede inteira. O motivo geralmente é monetário, mas alguns ataques visam principalmente sabotar o alvo. As consequências do ransomware podem ser devastadoras e levar a:

• Perda de dados de negócios e clientes.
• Repercussões legais por permitir uma violação de dados.
• Tempo de inatividade prolongado.
• Um golpe de reputação que leva à perda de clientes.
• Um processo de recuperação dispendioso que leva semanas para restaurar a rede ao estado anterior ao ataque.
• Danos a longo prazo à infra-estrutura.

Os pedidos de resgate variam de algumas centenas de dólares a milhões. A maioria dos invasores exige pagamento em Bitcoins, uma opção de moeda que permite ao criminoso permanecer anônimo após receber o dinheiro.

Os hackers usam ransomware para atingir pequenas e médias empresas, empresas, organizações públicas e usuários individuais. Esse tipo de malware também é um perigo para todos os sistemas operacionais, incluindo Windows, Linux e Mac. Nenhum negócio ou sistema é seguro, portanto, a prevenção contra ransomware deve fazer parte de toda estratégia de segurança cibernética.

O estado atual do ransomware

O ransomware continua a evoluir à medida que os criminosos trabalham em novas táticas para explorar os avanços na computação em nuvem, virtualização e computação de ponta. Abaixo estão as tendências mais notáveis que moldam atualmente o cenário do ransomware:

• Pressão sobre os MSPs: os criminosos estão atacando os provedores de serviços gerenciados (MSPs) mais do que nunca. A violação de um único MSP cria uma oportunidade de infectar clientes e permite que um invasor persiga vários alvos com uma única violação.
• Melhores defesas: as empresas estão tentando ficar à frente dos hackers com novas táticas. Heurísticas aprimoradas, análise de comportamento e arquivos de iscas estão ajudando as empresas a prever ataques em vez de responder aos perigos.
• Visando empresas que trabalham em casa: os hackers continuam perseguindo equipes que operam remotamente. Os funcionários que usam dispositivos pessoais para trabalhar em casa são o alvo principal.
• Concentre-se nos setores em desordem: os invasores continuam a atacar setores que foram atingidos pela pandemia. As instalações de saúde e educação são mais vulneráveis, pois os criminosos sabem que os seus dados são valiosos e provavelmente mal protegidos.
• Mais RaaS do que nunca: Ransomware como serviço é um “serviço” baseado em assinatura que permite que hackers usem ferramentas de terceiros para realizar ataques. Os criadores de ferramentas recebem uma porcentagem de cada violação bem-sucedida, enquanto os “clientes” se concentram inteiramente na propagação de malware.
• Maiores ameaças: os ransomware mais proeminentes em 2021 são Conti, Avvadon, REvil (ex Sodinokibi), Netwalker e Babuk. Os vetores de ataque mais comuns continuam sendo e-mails de phishing, explorações de RDP e vulnerabilidades de software.

Como funciona o ransomware?

Todos os ataques de ransomware começam com uma infecção inicial quando uma carga maliciosa entra no sistema. Assim que o programa estiver dentro do sistema, o ransomware executa um binário malicioso. Dependendo do tipo de malware, o objetivo da carga útil é:

• Pesquise automaticamente dados de destino (documentos do Microsoft Word, imagens, bancos de dados, etc.) e inicie a criptografia.
• Conecte-se ao servidor C&C do hacker e conceda controle direto sobre o sistema.
• Bloqueie automaticamente o sistema operacional e o dispositivo.
• Pesquise dados valiosos e configure o processo de exfiltração.

Depois que o programa conclui sua tarefa, o usuário perde o acesso aos arquivos ou a todo o computador. O dispositivo exibe uma mensagem explicando que o sistema é vítima de ransomware e que a única forma de recuperar o controle ou recuperar dados é pagando um resgate. As duas maneiras comuns pelas quais os programas exibem esta mensagem são:

• Um plano de fundo que muda para uma nota de resgate.
• Arquivos de texto dentro de cada diretório criptografado.

Normalmente, todo resgate tem dois prazos para pressionar a vítima. O primeiro prazo é quando o hacker ameaça dobrar o resgate, enquanto o outro é quando o invasor planeja excluir a chave de descriptografia.

A maioria dos ransomwares depende de criptografia assimétrica. Este tipo de criptografia usa um par de chaves exclusivas para criptografar e descriptografar dados. Uma chave criptografa os arquivos da vítima, e a única maneira de recuperar os dados é usar a chave armazenada no servidor do hacker. A maioria dos programas de ransomware usa uma chave de descriptografia diferente para cada arquivo de destino.

Como o Ransomware se espalha?

Aqui estão os métodos mais comuns que os criminosos usam para espalhar ransomware:

• Campanhas de phishing por e-mail que espalham um link ou anexo corrompido.
• Um ataque de spearphishing altamente direcionado.
• Diferentes formas de engenharia social (iscas, scareware, pretextos, truques nas redes sociais, etc.).
• Malvertising.
• Explorar kits em sites maliciosos.
• Um worm personalizado que explora um ponto fraco do sistema (como uma configuração RDP defeituosa ou uma falha devido ao mau gerenciamento do servidor).
• Uma peça de hardware infectada (ou seja, USBs e laptops).
• Complementos indesejados durante downloads.

A maioria dos ransomware de primeira linha pode se espalhar pela rede após infectar a vítima inicial. Em muitos casos, o dispositivo infectado é um endpoint e não o objetivo do ataque. Os alvos típicos são bancos de dados e servidores; portanto, a maioria dos programas usa mecanismos de autopropagação para se espalhar para outros sistemas.

Quem é o alvo do ransomware?

Os criminosos de ransomware atacam quem podem, mas seus principais alvos são empresas que parecem dispostas a pagar um resgate pesado rapidamente. A maioria dos ataques atinge vítimas que:

• Mantenha dados valiosos de clientes (por exemplo, bancos ou escritórios de advocacia).
• Exigir acesso imediato aos arquivos (hospitais e clínicas).
• Tenha dados insubstituíveis (agências governamentais).
• Conte com uma equipe de segurança com falta de pessoal (instituições públicas e pequenas e médias empresas).
• Tenha uma base de usuários diversificada e muito compartilhamento de arquivos (universidades).

Não se sinta seguro se o seu negócio não se enquadrar nesses critérios. Os criminosos são oportunistas e não perderão a oportunidade de perseguir alguém vulnerável. Além disso, alguns ransomware se espalham automaticamente pela Internet, de modo que cada empresa é um alvo potencial, independentemente do tamanho, setor ou nível de renda.

Quantos tipos de ransomware existem?

Embora todos os programas de ransomware sigam um modelo semelhante, existem dois tipos principais desses ataques cibernéticos:

• Locker ransomware (armário de computador): um tipo de malware que bloqueia o acesso dos usuários aos dispositivos e impede a inicialização do computador. Normalmente, o sistema bloqueado permite acesso limitado para que a vítima possa interagir com o hacker.
• Cripto ransomware (armário de dados): um ataque que criptografa dados valiosos sem bloquear o acesso do usuário ao dispositivo. Os alvos usuais são dados financeiros, informações privadas de clientes, grandes projetos de trabalho, fotos, informações fiscais, vídeos, etc.

O ransomware Locker é o tipo menos perigoso, pois esses ataques não se movem pela rede nem corrompem arquivos. Esse malware também é mais fácil de remover sem pagar o resgate, e é por isso que os hackers de armários costumam agir como policiais para pressionar a vítima a pagar rapidamente.

Quando as empresas começaram a contar com backups de dados melhores, os criminosos começaram a trabalhar em uma nova variante de ransomware. Um ataque Doxware busca exfiltrar dados do sistema alvo. Se o programa reforçar os dados, o invasor exigirá um resgate com a ameaça de vazar arquivos ou vendê-los ao licitante com lance mais alto.

Alguns programas podem primeiro exfiltrar os dados e depois criptografar os arquivos. Uma combinação de recursos de criptografia e Doxware permite que um invasor use ambas as táticas de extorsão.

Como evitar ransomware?

O ransomware pode ser difícil de parar, mas uma combinação de conscientização dos funcionários, planejamento de resposta proativa e higiene básica de segurança pode ajudar. Abaixo estão as práticas recomendadas que toda empresa deve implementar para se proteger contra ransomware:

• Mantenha dispositivos e sistemas atualizados com os patches de segurança mais recentes.
• Certifique-se de que a equipe use práticas rigorosas de segurança de e-mail.
• Organize treinamento de conscientização sobre segurança para garantir que a equipe saiba como funciona o ransomware.
• Use a segmentação de rede para evitar movimentos laterais entre sistemas.
• Certifique-se de que os funcionários saibam como usar soluções antimalware e antivírus.
• Enfatize a importância de uma navegação segura para evitar anúncios maliciosos e downloads drive-by.
• Melhore a segurança geral da rede.
• Conte com políticas de confiança zero e autenticação multifator para proteger sistemas e bancos de dados vitais.
• Monitore a atividade da rede em busca de comportamento suspeito.
• Garanta que os endpoints não se tornem um ponto de entrada com atualizações regulares e monitoramento de tráfego.
• Crie um plano de resposta a incidentes.

A melhor maneira de minimizar a ameaça do ransomware é usar backups imutáveis. Este tipo de backup não pode ser editado, portanto, os invasores não podem criptografar, excluir ou alterar as informações. Faça backup dos dados várias vezes por dia para minimizar o risco de perda de dados em caso de ataque de ransomware.

O que fazer em caso de ransomware?

Mesmo a melhor proteção contra ransomware às vezes não é suficiente para impedir um ataque. Se você sofrer um ataque, siga as etapas abaixo para minimizar os danos e retornar rapidamente ao trabalho normal:

1. Isole o problema. Coloque o dispositivo infectado off-line e desligue a rede. O programa provavelmente está procurando outros dispositivos e unidades, portanto, elimine a possibilidade de movimento lateral.
2. Avalie os danos. Examine cada dispositivo suspeito. Verifique se há dados criptografados, arquivos com extensões estranhas e relatos de usuários com problemas para abrir arquivos. Faça uma lista de todos os sistemas afetados, incluindo dispositivos de rede, armazenamento em nuvem, discos rígidos externos, laptops, PCs, dispositivos portáteis, etc.
3. Localize o paciente zero. Você deve identificar a origem do ataque. Procure alertas de seus programas antivírus e malware, sistema EDR e plataforma de monitoramento.
4. Identifique o ransomware. Você precisa determinar o tipo de ransomware que atacou sua empresa. A maioria das notas de resgate revela o invasor, mas você também pode digitar o texto da mensagem em um mecanismo de pesquisa e identificar o invasor dessa forma.
5. Entre em contato com as autoridades. A polícia pode ajudar a identificar o invasor, além de haver também uma chance de que os policiais tenham a chave de descriptografia do ransomware em questão.
6. Use backups para restaurar dados. Restaure cada sistema infectado a partir de um backup. Se você tiver backups imutáveis, o ataque não poderá afetar o arquivo de backup, portanto, restaure cada dispositivo para o último estado seguro. Em seguida, use uma solução antimalware para verificar se há backdoors nos dispositivos.

Se você não tiver um backup viável e a polícia não possuir a chave de descriptografia, suas opções são pagar o resgate ou reduzir suas perdas. Pagar o resgate pode não ser a melhor ideia, como explicamos a seguir.

As empresas devem pagar o resgate?

Se uma empresa não tiver backup de dados e enfrentar semanas ou meses de recuperação, pagar o resgate é tentador. No entanto, considere o seguinte antes de tomar a decisão:

• Existe a chance de você nunca conseguir a chave de descriptografia. Muitas vítimas pagaram o resgate apenas para não receber nada em troca.
• A chave de descriptografia pode não funcionar. Os criadores de ransomware não estão no ramo de recuperação de arquivos, portanto, os criminosos não gastam muito tempo garantindo que a descriptografia funcione.
• Seus arquivos podem estar muito corrompidos. Alguns programas de ransomware corrompem os arquivos sem possibilidade de reparo para garantir que a criptografia aconteça o mais rápido possível. Se for esse o caso, mesmo uma chave de descriptografia não será capaz de restaurar os arquivos.
• Você se torna um alvo que vale a pena. Uma empresa com histórico de pagamento de resgate é um alvo atraente para um novo ataque. A mesma equipe pode atacar novamente no futuro ou informar aos colegas quais empresas estão dispostas a atender às demandas.
• Os criminosos ainda podem vazar seus dados. Se os invasores exfiltrarem seus dados, nada poderá impedi-los de vender os dados ao licitante com lance mais alto, mesmo que você pague o resgate.

Em vez de avaliar se pagar o resgate é a decisão certa ou não, certifique-se de que sua empresa pode lidar com um ataque de ransomware. Com as devidas precauções e backups, você nunca estará em uma posição em que deva considerar pagar o resgate.

Não corra riscos com software de extorsão

A melhor maneira de combater o ransomware é estabelecer táticas de prevenção sólidas, apoiadas por um plano de resposta bem elaborado. Use este artigo para educar sua equipe sobre a ameaça e definir precauções que garantam que você possa prevenir e se recuperar de forma confiável de um ataque de ransomware. Além disso, saiba mais sobre as diferenças entre Malware e Ransomware e como eles funcionam em nosso guia detalhado.