Ransomware é um malware que emprega criptografia para manter as informações da vítima sob resgate. Os dados críticos de um usuário ou organização são criptografados para que eles não possam acessar arquivos, bancos de dados ou aplicativos.
Um resgate é então exigido para fornecer acesso. O ransomware geralmente é projetado para se espalhar por uma rede e ter como alvo bancos de dados e servidores de arquivos, podendo assim paralisar rapidamente uma organização inteira. É uma ameaça crescente, gerando milhares de milhões de dólares em pagamentos a cibercriminosos e infligindo danos e despesas significativas a empresas e organizações governamentais.
Segundo o relatório da “IBM Security X-Force Threat Intelligence Index 2023”, os ataques de ransomware representaram 17% de todos os ataques cibernéticos em 2022.
Além disso, o relatório indica que nos últimos anos, os ataques de ransomware evoluíram para incluir ataques de extorsão dupla e de extorsão tripla, o que aumenta consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente backups de dados ou pagam o pedido de resgate inicial estão em risco. Os ataques de dupla extorsão acrescentam a ameaça de roubar os dados da vítima e vazá-los online. Além disso, os ataques de extorsão tripla ameaçam usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.
Chantagear e extorquir desta forma as empresas não é uma invenção do século XXI. No final da década de 1980, os criminosos já mantinham arquivos criptografados como reféns em troca de dinheiro enviado pelos correios. Um dos primeiros ataques de ransomware já documentados foi o trojan AIDS (PC Cyborg Virus), lançado em disquete em 1989. As vítimas precisavam enviar US$189 para uma caixa postal no Panamá para restaurar o acesso aos seus sistemas, mesmo sendo um vírus simples que utiliza criptografia simétrica.
Os primeiros casos concretos de ransomware foram relatados na Rússia em 2005. Desde então, o ransomware se espalhou por todo o mundo, com novos tipos continuando a ter sucesso. Em 2011, foi observado um aumento dramático nos ataques de ransomware. No decorrer de novos ataques, os fabricantes de software antivírus têm concentrado cada vez mais os seus antivírus em ransomware, especialmente desde 2016.
Muitas vezes, diferenças regionais podem ser vistas nos vários ataques de ransomware. Por exemplo:
Em média, o ciclo de vida do ransomware tem seis estágios gerais: distribuição e infecção de malware; comando e controle; descoberta e movimento lateral; roubo malicioso e criptografia de arquivos; extorsão; e resolução.
Estágio 1: Distribuição e infecção de malware
Antes que os invasores possam exigir um resgate, eles devem se infiltrar nos sistemas das vítimas e infectá-las com malware. Os vetores de ataque de ransomware mais comuns são phishing, Remote Desktop Protocol (RDP) e abuso de credenciais, além de vulnerabilidades de software exploráveis:
Etapa 2: Comando e controle
Um servidor de comando e controle (C&C) configurado e operado pelos invasores do ransomware envia chaves de criptografia ao sistema alvo, instala malware adicional e facilita outros estágios do ciclo de vida do ransomware.
Etapa 3: Descoberta e movimento lateral
Esta fase de duas etapas envolve primeiro que os invasores coletem informações sobre a rede da vítima para ajudá-los a entender melhor como lançar um ataque bem-sucedido e, em seguida, espalhem a infecção para outros dispositivos e aumentem seus privilégios de acesso para buscar dados valiosos.
Estágio 4: Roubo malicioso e criptografia de arquivos
Nesse estágio, os invasores exfiltram dados para o servidor C&C para uso em ataques de extorsão no futuro. Os invasores então criptografam os dados e sistemas usando as chaves enviadas de seu servidor C&C.
Etapa 5: Extorsão
Os invasores exigem o pagamento de um resgate. A organização agora sabe que é vítima de um ataque de ransomware.
Etapa 6: Resolução
A organização vítima deve entrar em ação para enfrentar e recuperar do ataque. Isto pode envolver a restauração de backups, a implementação de um plano de recuperação de ransomware, o pagamento do resgate, a negociação com os invasores ou a reconstrução de sistemas do zero.
Para se defenderem contra ameaças de ransomware, agências federais como CISA, NCIJFT e o Serviço Secreto dos EUA recomendam que as organizações tomem certas medidas de precaução, tais como:
A gestão de custos é um dos maiores desafios enfrentados pelas empresas, especialmente quando esses…
As startups, impulsionadas por inovação e agilidade, navegam em um cenário digital vibrante, mas também…
A segurança cibernética é crucial para startups, independentemente do seu tamanho ou setor de atuação.…
O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, tratar e relatar vulnerabilidades de…
O DNS Cache Poisoning, ou envenenamento de cache DNS, é uma forma de ataque cibernético…
O DNS hijacking é um ataque malicioso que envolve a alteração das configurações de DNS…