Ransomware é um dos tipos de malwares projetados com o único objetivo de infectar máquinas e empregar criptografia em todos os dados nela contidos. Ao criptografar os dados no dispositivo de um usuário, o ransomware pode retê-los como resgate. Se você não contar com uma solução robusta de segurança cibernética, não poderá acessar seus dados até pagar uma quantia alta aos invasores.
A maioria dos ataques de ransomware busca criptografar todos os dados em um dispositivo – arquivos, pastas, informações de identificação pessoal (PII), bancos de dados, aplicativos etc. O ransomware geralmente pode se espalhar por uma rede para atingir bancos de dados ou servidores de arquivos. Se for bem-sucedido, pode tornar organizações inteiras impotentes para acessar seus dados.
Como ele funciona?
O ransomware utiliza a criptografia assimétrica, um tipo de criptografia que depende de um par de chaves para criptografar e descriptografar dados. Os invasores podem gerar um par de chaves público-privado exclusivo e armazenar a chave privada (usada para descriptografar os dados) em um servidor de sua escolha. Espera-se que o invasor apresente a chave privada à vítima assim que o resgate for pago. No entanto, cada campanha de ransomware é diferente. Às vezes, pagar o resgate só traria riquezas para os invasores, mas o usuário não receberia uma chave privada para descriptografar seus dados. E sem uma chave de descriptografia, é quase impossível “libertar” seus dados das garras da criptografia.
O malware depende de um vetor de ataque para atingir com sucesso um endpoint e se infiltrar em um sistema. Feito isso, o ransomware pode persistir em uma rede até que seu objetivo seja satisfeito. Mesmo que a maioria das formas de ransomware faça praticamente a mesma coisa, o estado da infecção pode variar. Ele pode ser distribuído por meio de e-mails maliciosos, ataques direcionados ou até anúncios pop-up. Após um ataque bem-sucedido, o ransomware normalmente descarta e executa um binário corrompido no dispositivo ou sistema infectado. O binário vasculha os dados da vítima para criptografar arquivos valiosos – imagens, documentos do MS Word, bancos de dados, aplicativos do sistema, etc.
Depois que o ransomware criptografa seus arquivos, é solicitado o pagamento de um resgate dentro de 24 a 48 horas para descriptografar seus dados. Se não for feito, seus dados podem ser perdidos para sempre.
Diferentes tipos de ransomware
Scareware – Ele simula problemas no dispositivo infectado. O usuário normalmente vê uma mensagem em sua tela notificando sobre um vírus ou malware detectado. Em meio ao pânico, você pode clicar no alerta e liberar o malware. Uma vez clicada, a notificação pop-up redirecionará a vítima para uma página “segura” para resolver o problema. Depois que o usuário segue o link malicioso, os invasores podem roubar suas informações pessoais ou financeiras.
Encriptadores – Os criptografadores se encaixam na descrição mais geral de ransomware. Eles se infiltram em um sistema, criptografam todos os dados nele e os mantêm como reféns até que a vítima pague um resgate na esperança de receber uma chave de descriptografia.
Armários – Os armários não criptografam dados para impedir o acesso a arquivos ou aplicativos. Em vez disso, eles visam impedir o uso de todo o seu dispositivo. Após um ataque ao armário, a vítima normalmente vê uma tela de bloqueio exibindo detalhes do resgate com um cronômetro para criar um senso de urgência.
Doxware/Leakware
O Doxware geralmente visa enganar um usuário ou uma empresa para pagar um resgate por meio de ameaças de liberar dados confidenciais online. Seus alvos são empresas com a ameaça de liberar arquivos confidenciais ou propriedade intelectual, mas também pode ter como alvo usuários individuais.
Com a crescente popularidade e sucesso dos ataques de ransomware, podemos acompanhar o surgimento do RaaS – um modelo econômico de cibercrime de ransomware como serviço. O modelo permite que os desenvolvedores de malware monetizem seus esforços sem distribuir ataques de ransomware por conta própria.
Qualquer criminoso não técnico pode usar o ransomware projetado e lançar campanhas de infecção sobre vítimas inocentes. Se os ataques forem bem-sucedidos, os desenvolvedores receberão uma porcentagem dos despojos. Esse modelo garante relativa segurança para os desenvolvedores, pois seus clientes fazem a maior parte do trabalho depois que o código é criado.
Com essa opção, as ameaças de ransomware surgem diariamente de forma mais rápida e maliciosa. No entanto, o fácil acesso aos desenvolvedores não é a única razão para o surgimento do ransomware. Novas técnicas de ransomware surgem rapidamente, como criptografar um disco completo em vez de criptografar arquivo por arquivo. Atualmente, mesmo invasores não experientes em tecnologia podem realizar campanhas de ransomware bem-sucedidas. Além disso, há outro motivo geral para o florescimento dos criminosos de ransomware.
Detectar invasores de ransomware é praticamente impossível
O aumento da criptomoeda permite que os criminosos cibernéticos exijam pagamentos de resgate em Bitcoin ou outras criptomoedas. Seguir a trilha do dinheiro em tais pagamentos é desafiador e torna o rastreamento de criminosos quase impossível.
Agentes de ameaças podem se reunir em grupos para projetar e executar ataques sofisticados de ransomware para obter lucros rápidos. O processo acelerado de criação de ransomware (devido ao código-fonte aberto altamente disponível e às plataformas de arrastar e soltar) permite que criadores de script novatos criem seu próprio ransomware. Além disso, o ransomware moderno é tipicamente polimórfico por design, o que significa que pode facilmente ignorar as ferramentas tradicionais de segurança cibernética baseadas em assinatura.
Para garantir que você não seja vítima de tal ataque, é melhor nunca abrir links que você não tenha inspecionado completamente. Em suma, é melhor perder um negócio de produto real aqui e ali, em vez de perder o acesso aos seus dados.
As campanhas de engenharia social podem diferir significativamente dependendo do grupo de vítimas escolhido. No entanto, os fundamentos de tais campanhas são praticamente os mesmos. Campanhas de engenharia social podem ser realizadas por e-mail, mensagens de texto SMS, chamadas telefônicas, salas de bate-papo online, mídia social e muito mais. Após receberem as informações necessárias, os cibercriminosos podem lançar ataques cibernéticos devastadores. Após uma campanha de engenharia social bem-sucedida, o ataque pode ser especialmente prejudicial se os dados compartilhados envolverem credenciais de acesso de alto nível ou logins de rede.
Listaremos as principais indústrias mais visadas nos últimos anos.
Educação
Serviços empresariais, jurídicos e profissionais
Governo central
Manufatura
Infraestrutura de energia e serviços públicos
Cuidados de saúde
Serviços financeiros
Pequenas e médias empresas podem ser mais vulneráveis, pois na maioria dos casos elas não possuem os recursos necessários para combater os ataques cibernéticos. Além disso, as grandes empresas podem pagar seminários anti-ransomware e sessões de educação para seus funcionários, enquanto as pequenas e médias empresas gostariam de reduzir os custos comerciais não críticos.
Esse equívoco é reforçado pela forma como a mídia opera – é muito mais “atraente” relatar um golpe em uma empresa conhecida globalmente, em vez de focar em ataques únicos a usuários individuais e pequenas e médias empresas. É compreensível, mas deixa de lado a conscientização sobre ransomware para usuários domésticos e pequenas e médias empresas.
Por isso é fundamental entender que um e-mail de phishing pode induzir qualquer usuário a infectar sua máquina, seja trabalhando em uma grande empresa ou apenas relaxando em casa. Existem ataques de ransomware intensamente direcionados, mas muitos agentes de ameaças dependem do envio de cadeias de e-mail em massa na esperança de pegar usuários desavisados com a guarda baixa. (“phishing”, como termo, deriva dessa abordagem)
Portanto, usuários individuais que não se educam sobre hábitos online sensatos também serão um dos principais alvos do ransomware.
Para garantir que seu sistema esteja atualizado e pronto para combater o ransomware, é melhor executar uma verificação de vulnerabilidade usando uma solução de cibersegurança dedicada. A verificação pode alertá-lo sobre possíveis vulnerabilidades de segurança no sistema operacional e nos programas de sua máquina; ao detectá-los, você pode entender os pontos fracos em seu sistema e fortalecê-los contra-ataques perigosos.
Fonte: Acronis
