Os ataques de ransomware têm sido uma ameaça proeminente a indivíduos e empresas, tanto grandes como de pequeno ou médio porte, desde meados dos anos 2000. De acordo com o FBI, o Internet Crime Complaint Center (IC3), que é a central de denúncias sobre crimes relacionados à Internet da agência, recebeu 1.783 reclamações em 2017, com um custo total de US$ 2,3 milhões. Entretanto, é importante lembrar que essas denúncias representam apenas os ataques reportados à IC3.
O número real de ataques e seus custos são muito mais altos, já que muitas organizações optam por lidar com a situação internamente, a fim de evitar a repercussão pública ou junto às partes envolvidas e os consequentes danos à sua reputação. De acordo com a Statista, a estimativa é de que tenham ocorrido 184 milhões de ataques em 2017.
Inicialmente, os ataques de ransomware eram voltados a indivíduos, e essas ainda são as principais vítimas atualmente. Ao longo do tempo, entretanto, os agressores passaram a atacar instituições incapazes de continuar operando sem o acesso total a seus dados, incluindo hospitais, universidades e agências governamentais. Neste artigo, abordaremos o ransomware, como evitá-lo, o que fazer se estiver infectado e a importância dos backups no processo de recuperação do ransomware.
Ransomware é um tipo de malware projetado exclusivamente para bloquear seu sistema de computador ou criptografar seus dados para que você não possa acessá-los. Além disso, pode aproveitar as vulnerabilidades do seu sistema operacional e se espalhar para outras redes ou sistemas.
Depois que o ransomware infecta seus sistemas de computador, o autor do ataque solicita o pagamento de um resgate (em inglês, "ransom", termo que originou o nome desse tipo de ataque) para devolver a você o acesso e controle totais de seus sistemas ou a descriptografia de seus dados. Estes são alguns tipos de ransomware: crypto malware, lockers, scareware, Doxware (leakware) e Ransom-as-a-service (RaaS).
Esses criminosos cibernéticos geralmente lançam os ataques de localizações remotas e exigem pagamentos que não possam ser rastreados nem reembolsados em criptomoedas, conhecidas como bitcoins. Em alguns dos ataques de ransomware mais recentes, os criminosos foram mais além, solicitando pagamentos em forma de cartões-presente de lojas online como Google Play ou Apple iTunes, que podem ser transformados em mercadorias ou dinheiro.
Infelizmente, os ataques bem-sucedidos de ransomware raramente deixam rastros digitais que possam ser usados para rastrear os contraventores ou recuperar os valores pagos a eles. Além disso, não há garantia de que seus dados serão totalmente descriptografados mesmo após o pagamento do resgate.
O primeiro incidente ransonware de que se tem notícia ocorreu em 1989, quando, supostamente, um biólogo formado em Harvard infectou os computadores de vários participantes da Conferência Internacional sobre AIDS da OMS. A partir de meados dos anos 2000, os criminosos cibernéticos se tornaram mais criativos em relação a seus ataques e, após 2012, os ataques de ransomware se espalharam mundialmente com o uso de criptografia RSA assimétrica.
Atualmente, as variedades de ransomware têm se tornado cada vez mais avançadas no que diz respeito à capacidade de criptografar arquivos, evitar a detecção, se espalhar entre sistemas e coagir usuários a pagar os resgates. A nova era de ataques envolve técnicas avançadas de desenvolvimento, como o uso de criptografadores para dificultar muito a engenharia reversa, ou o uso de esforços avançados de distribuição, incluindo infraestruturas pré-incorporadas que distribuem amplamente e facilmente as novas variedades.
As campanhas de spear-phishing estão substituindo rapidamente a distribuição de e-mails de phishing tradicionais, já que eles agora são frequentemente filtrados ao ser identificados como spam. Agressores mais sofisticados desenvolveram kits de ferramentas para download que podem ser implementados por pessoas com menos habilidades técnicas. Outros formatos de esquemas de monetização de ransomware incluem programas de RaaS que revolucionaram CryptoLocker, Locky, CryptoWall e TeslaCrypt.
Além disso, os agressores agora estão usando métodos de criptografia offline para se aproveitar de recursos legítimos de sistemas (como CryptoAPI, da Microsoft) para acabar com a necessidade de comunicações de comando e controle.
O ransomware pode se espalhar de várias maneiras. A mais comum delas é por meio de e-mails de phishing contendo anexos maliciosos. Esses anexos chegam disfarçados de arquivos legítimos de fontes conhecidas. Ao fazer o download do arquivo e abri-lo, ele pode assumir o controle do computador, especialmente se for uma ferramenta incorporada de engenharia social capaz de convencer você a conceder acesso administrativo. Outros tipos mais agressivos de famílias de ransomware exploram brechas na segurança do sistema para infectar e criptografar seu computador sem nem mesmo precisar enganar você.
Os agressores também usam mensagens enganosas em redes sociais para obter acesso aos computadores das vítimas. Um dos canais mais comumente usados por eles é o Facebook Messenger. Aqui, o invasor cria uma conta que imita a de um de seus amigos atuais. Depois, ele envia mensagens com anexos. Quando você abre o anexo, o agressor obtém acesso ao seu dispositivo e bloqueia todas as redes conectadas.
Seu computador também pode ser infectado por meio de downloads dissimulados. Isso acontece quando, sem saber, você acessa um site infectado, gerando o download e a instalação de software malicioso sem seu conhecimento. Depois disso, o agressor pode criptografar dados em sua máquina.
Uma variante conhecida como crypto-ransomware é usada para criptografar seus arquivos e se espalha de modo semelhante por meio de redes sociais (por exemplo, em aplicativos de mensagens instantâneas baseados na Web). Entre outros métodos de infecção, estão a exploração de servidores Web vulneráveis para obter acesso à rede de sua empresa e o uso de janelas pop-up na Internet.
Quando um agressor assume o controle de seus sistemas de computador, a primeira coisa que ele faz é bloquear ou criptografar seus arquivos. Ao final do ataque, seus arquivos não podem ser abertos ou descriptografados sem uma chave à qual só o agressor tem acesso, provavelmente armazenada no sistema dele.
Nesse momento, você recebe uma mensagem explicando o estado de inacessibilidade de seus arquivos e solicitando um resgate por meio de uma forma de pagamento que não possa ser rastreada, como criptomoedas. Às vezes, o agressor pode ser criativo o suficiente para se fazer passar por uma autoridade policial e alegar que seus sistemas foram bloqueados devido à presença de conteúdo ilegal, como software pirata ou pornografia. O pagamento é então solicitado como se fosse uma multa.
Em ataques dos tipos leakware ou doxware, o agressor ameaça publicar dados confidenciais presentes em seu dispositivo caso você não pague o resgate. Entretanto, já que encontrar e extrair esses dados requer expertise técnica, os tipos mais comuns de ataque são os que envolvem criptografia.
Os ataques de ransomware evoluíram ao longo dos anos, passando de anexos simples de e-mail a sites, aplicativos móveis e até anúncios digitais infectados.. Esses formatos são tão eficazes que a procura por eles cresceu na Dark Web, onde são vendidos em portais de ransomware-as-a-service (RaaS). Os possíveis alvos incluem:
De acordo com o Departamento de Justiça dos EUA, esse crime cibernético tem potencial para causar impactos em escala global. Como a maioria dos outros tipos de malware, o ransomware frequentemente infecta computadores por meio de cliques em links ou downloads de programas não seguros.
No entanto, ao contrário de outros ataques de malware, o ransomware não é removido quando você atualiza o BIOS, limpa a unidade ou tenta retornar o sistema operacional a um ponto de restauração anterior. O programa bloqueia seus arquivos antes da solicitação de resgate. Ao mesmo tempo, o agressor cria uma chave de descriptografia exclusiva e a armazena em seus servidores.
Se você não pagar o resgate ou fizer qualquer tentativa de alterar o programa de criptografia, a chave será excluída permanentemente, tornando seus arquivos bloqueados inacessíveis. O mais comum é que os ataques desse tipo só terminem depois que a vítima paga o valor solicitado.
Embora ainda seja possível usar um computador infectado, o risco de perder dados importantes pode afetar a produtividade de modo significativo. Outros impactos desse tipo de ataque incluem:
Ataques de ransomware são assustadores, pois você corre o risco de perder dados pessoais e de negócios muito importantes no processo, o que pode ter efeitos a curto ou longo prazo mesmo que você pague o resgate. Entretanto, existem algumas estratégias contra ransomware que você pode usar para se proteger e proteger sua empresa.
Não armazene todos os seus dados em um único lugar. O backup de dados regular é necessário porque permite restaurar quaisquer dados perdidos como resultado de ataques de ransomware e outros desastres. Observe que o CryptoLocker também é capaz de encontrar e criptografar dados presentes em unidades mapeadas. Por isso, você precisa ter um cronograma de backups regulares feitos por um serviço de backup externo ou em uma unidade externa que não esteja mapeada ou que se desconecte quando não houver backups em andamento.
O CryptoLocker frequentemente chega em arquivos nomeados com uma extensão do tipo “.PDF.EXE”, pois os agressores se aproveitam do comportamento padrão do Windows de esconder ou ocultar extensões de arquivo conhecidas. Portanto, ao habilitar a opção de mostrar as extensões completas dos arquivos em seu computador, será mais fácil identificar arquivos suspeitos.
Um comportamento peculiar dos arquivos de CryptoLocker é iniciar seus arquivos executáveis a partir das pastas Local AppData e AppData. Por isso, você pode criar regras em seu sistema por meio do Windows ou de um software de prevenção contra intrusões para que esse comportamento não seja permitido. É possível excluir da regra os arquivos de programas legítimos que são executados a partir da área AppData.
Se você tiver um verificador de e-mails no gateway capaz de filtrar os arquivos recebidos por suas extensões, pode ser recomendável recusar e-mails com a extensão “.exe” ou quaisquer arquivos enviados com mais de uma extensão de arquivo, sendo uma delas uma extensão executável.
Se você precisar receber ou enviar arquivos executáveis legítimos em seu ambiente, após configurar a recusa de e-mails com extensão “.exe”, você poderá optar pelo uso de arquivos ZIP protegidos por senha ou trocar e-mails por meio de serviços na nuvem.
Os acessos do tipo Cryptolocker/Filecoder atacam máquinas por meio do Remote Desktop Protocol (RDP). Trata-se de um utilitário do Windows que permite que outros usuários acessem sua área de trabalho remotamente. Desativar o RDP pode ajudar muito a proteger seu computador contra ataques remotos.
A segurança é sempre uma responsabilidade compartilhada entre você e seus funcionários. Portanto, certifique-se sempre de realizar treinamentos atualizados e rotineiros dos funcionários sobre segurança do sistema e da rede, avaliação de ameaças e seu papel no combate ao crime cibernético e prevenção de ransomware.
Os autores de ataques de malware contam com o fato de que muitas pessoas usam software desatualizado, com vulnerabilidades conhecidas que podem ser exploradas para proporcionar a eles ganhos pessoais ou financeiros. Atualizações de software regulares podem reduzir significativamente a possibilidade de sofrer um ataque. Isso ocorre porque alguns fornecedores disponibilizam atualizações de segurança regulares ou emergenciais.
Você pode ativar as atualizações automáticas ou acessar manualmente o site do fornecedor para obter atualizações. Tenha cuidado, pois os criminosos muitas vezes disfarçam seu software para que pareçam notificações sobre atualizações.
Usar um firewall de software e um software antimalware são medidas que podem ajudar você a identificar possíveis ameaças ou comportamentos suspeitos. Você precisa de ambas as camadas de defesa porque os autores de malware geralmente enviam novas variantes para evitar a detecção de ransomware.
A maioria dos tipos de malware depende de instruções remotas para a execução. Se por acaso você encontrar uma nova variante de ransomware que passou pelo seu software de segurança, é provável que ela não passe pelo firewall enquanto tenta se conectar remotamente com o servidor de Comando e Controle (C&C).
Existem várias etapas de prevenção de ransomware que você pode seguir para evitar o acesso não autorizado. Estas práticas de segurança podem melhorar significativamente suas defesas e proteger você de todos os tipos de ataques cibernéticos. Entre elas:
Implemente algumas limitações ao acesso de um funcionário ou prestador de serviços que:
Qualquer pessoa, funcionário ou prestador de serviços com acesso a seus sistemas representa um possível ponto de vulnerabilidade para ataques. Rotatividade, restrições impróprias e falha na atualização de suas senhas podem resultar em vulnerabilidades de proteção contra ransomware e aumentar o risco de ataques.
Você precisa implementar um sistema de detecção de ransomware multifacetado para garantir proteção abrangente. Ele deve incluir proteção de endpoints para os sistemas dos usuários, detecção de intrusões, proteção corporativa contra vírus para servidores, detecção de malwares conhecidos, logs centralizados para correlação de eventos, monitoramento de portas de rede e detecção de padrões de dados.
A detecção rápida de atividades maliciosas permite a contenção imediata antes que a ameaça se espalhe e cause mais danos. Todos os seus sistemas infectados deverão ser colocados em quarentena, corrigidos e restaurados. Às vezes, seus sistemas podem não conseguir capturar um ataque de ransomware bem-sucedido até que seja tarde demais e você já tenha perdido o acesso a seus dados. Até seus backups podem ficar comprometidos e se tornar inúteis.
Por isso, os administradores do seu sistema precisam ficar atentos durante a etapa de detecção para poder rapidamente iniciar medidas de contenção que impeçam o ataque e restaurem os dados criptografados. Os administradores de sistema também devem instalar ferramentas eficazes de terceiros que ajudem a detectar ataques e auxiliar na proteção contra ransomware.
Infelizmente, não existe nenhuma garantia de 100% quando o assunto é segurança cibernética. Não importa o quão bom seja o seu departamento de TI na detecção e proteção de ransomware, ocasionalmente ocorrem ataques bem-sucedidos que forçam as organizações a entrar no estágio de recuperação.
O tempo de recuperação do ransomware depende da extensão do ataque e do seu nível de preparação. Independentemente da escala, da criptografia de alguns arquivos à perda de todos os dados de um local, geralmente o alvo está em seus dados mais críticos. Seus procedimentos e ferramentas de recuperação de desastres serão usados e testados durante todo o processo.
Uma defesa eficaz contra ransomware depende principalmente do nível de informação a respeito. Você deve buscar tempo para saber mais sobre as melhores opções de atualizações de software e backups automatizados de dados. Educar você e seus funcionários sobre os sinais indicadores de uma ameaça ou ataque e táticas de distribuição, como sites falsificados, downloads diretos e ataques de phishing, deve ser sua principal prioridade, pois esse conhecimento ajudará você a se proteger coletivamente contra ransomware.
Você também precisa implementar soluções de segurança para garantir uma proteção avançada contra ameaças. As ferramentas de detecção e resposta de endpoint (EDR) são perfeitas para monitorar atividades em suas redes e endpoints e identificar, se defender e reduzir os riscos das ameaças. As ferramentas do NetBackup também são muito úteis para detectar e prevenir ataques de ransomware e de outros tipos.
Existem três tipos de ferramentas de limpeza e prevenção de ransomware. A primeira categoria é a das ferramentas de desinfecção, para quando é preciso confirmar que os computadores estão limpos antes de permitir a restauração dos dados após um incidente. Esse recurso está presente em muitos dos programas antivírus mais conhecidos.
A primeira categoria é a das ferramentas de desinfecção, para quando é preciso confirmar que os computadores estão limpos antes de permitir a restauração dos dados após um incidente. Esse recurso está presente em muitos dos programas antivírus mais conhecidos.
A segunda categoria inclui as ferramentas de descriptografia, que são iniciadas durante o andamento de um ataque bem-sucedido. Infelizmente, essas ferramentas são limitadas e dependem da recuperação dos bancos de dados de chaves exclusivas dos agressores após sua apreensão.
A terceira categoria são as ferramentas de proteção contra ransomware que usam análise comportamental para detectar eventos sugestivos da presença de ransomware em um sistema e interceptá-lo antes que qualquer dano seja causado.
Entre as melhores ferramentas de prevenção e recuperação atuais contra ransomware estão o Veritas NetBackup Appliances, a ferramenta de bloqueio de tela da Trend Micro, as ferramentas do Avast, o BitDefender, as ferramentas do Kaspersky e os descriptografadores do Lab, as ferramentas de descriptografia da AVG, as ferramentas Webroot SecureAnywhere, o Malwarebytes, o McAfee Interceptor Review, o No More Ransom e o CryptoPrevent.
Testar a eficácia das ferramentas de proteção contra ransomware usando amostras reais é incrivelmente difícil. Além disso, algumas ferramentas são voltadas especificamente para incidentes que ocorreram no passado e que podem não estar mais em atividade atualmente.
Entretanto, talvez a melhor maneira de testar a eficácia dessas ferramentas seja configurar uma máquina virtual (VM) que corresponda ao ambiente do seu sistema e não tenha acesso real à rede. A partir disso, você pode fazer testes com diferentes situações de ataque e usar pontos de restauração em seus backups (como os appliances do Veritas NetBackup) para verificar sua eficácia.
Os ataques de crypto-ransomware contra sistemas de computador se tornaram um grande fenômeno nos últimos anos. Sem o treinamento e as ferramentas adequadas de proteção contra ransomware, você corre o risco de só perceber um ataque quando receber a solicitação de resgate e já for tarde demais para impedir um comprometimento ainda maior. A epidemia de diferentes variedades, como WannaCry/NotPetya, demonstrou o quanto um ataque altamente distribuído pode ser devastador.
Embora os programas antivírus atualmente estejam mais preparados para detectar e bloquear alguns tipos de ransomware (geralmente por meio da observação de comportamento suspeito), ter o tipo certo de backup continua sendo a principal defesa contra esse e outros tipos de ataques de malware. O Veritas NetBackup Appliances tem uma série de produtos para ajudar você a impedir e detectar ataques e recuperar seus dados.
Entre os clientes da Veritas estão 98% das empresas da Fortune 100, e o NetBackup™ é a primeira opção para as organizações que desejam proteger grandes quantidades de dados.
Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, em nuvem e herdadas com os serviços de Proteção de dados para empresas.