Ransomware – Guia Básico

Ransomware é um malware que emprega criptografia para manter as informações da vítima sob resgate. Os dados críticos de um usuário ou organização são criptografados para que eles não possam acessar arquivos, bancos de dados ou aplicativos.

Um resgate é então exigido para fornecer acesso. O ransomware geralmente é projetado para se espalhar por uma rede e ter como alvo bancos de dados e servidores de arquivos, podendo assim paralisar rapidamente uma organização inteira. É uma ameaça crescente, gerando milhares de milhões de dólares em pagamentos a cibercriminosos e infligindo danos e despesas significativas a empresas e organizações governamentais.

Segundo o relatório da “IBM Security X-Force Threat Intelligence Index 2023”, os ataques de ransomware representaram 17% de todos os ataques cibernéticos em 2022.

Além disso, o relatório indica que nos últimos anos, os ataques de ransomware evoluíram para incluir ataques de extorsão dupla e de extorsão tripla, o que aumenta consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente backups de dados ou pagam o pedido de resgate inicial estão em risco. Os ataques de dupla extorsão acrescentam a ameaça de roubar os dados da vítima e vazá-los online. Além disso, os ataques de extorsão tripla ameaçam usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.

Um pouco sobre a história do Ransomware

Chantagear e extorquir desta forma as empresas não é uma invenção do século XXI. No final da década de 1980, os criminosos já mantinham arquivos criptografados como reféns em troca de dinheiro enviado pelos correios. Um dos primeiros ataques de ransomware já documentados foi o trojan AIDS (PC Cyborg Virus), lançado em disquete em 1989. As vítimas precisavam enviar US$189 para uma caixa postal no Panamá para restaurar o acesso aos seus sistemas, mesmo sendo um vírus simples que utiliza criptografia simétrica. 

Os primeiros casos concretos de ransomware foram relatados na Rússia em 2005. Desde então, o ransomware se espalhou por todo o mundo, com novos tipos continuando a ter sucesso. Em 2011, foi observado um aumento dramático nos ataques de ransomware. No decorrer de novos ataques, os fabricantes de software antivírus têm concentrado cada vez mais os seus antivírus em ransomware, especialmente desde 2016.

Muitas vezes, diferenças regionais podem ser vistas nos vários ataques de ransomware. Por exemplo:

• Mensagens incorretas sobre aplicativos não licenciados: Em alguns países, os Trojans notificam a vítima de que software não licenciado está instalado no seu computador. A mensagem então solicita que o usuário efetue um pagamento.

• Alegações falsas sobre conteúdo ilegal: Em países onde os downloads ilegais de software são uma prática comum, esta abordagem não é particularmente bem-sucedida para os cibercriminosos. Em vez disso, as mensagens de ransomware afirmam ser provenientes de agências de aplicação da lei e que pornografia infantil ou outro conteúdo ilegal foi encontrado no computador da vítima. A mensagem também contém a exigência do pagamento de uma multa.

E na prática, como funciona o ataque de Ransomware?

Em média, o ciclo de vida do ransomware tem seis estágios gerais: distribuição e infecção de malware; comando e controle; descoberta e movimento lateral; roubo malicioso e criptografia de arquivos; extorsão; e resolução.

Estágio 1: Distribuição e infecção de malware

Antes que os invasores possam exigir um resgate, eles devem se infiltrar nos sistemas das vítimas e infectá-las com malware. Os vetores de ataque de ransomware mais comuns são phishing, Remote Desktop Protocol (RDP) e abuso de credenciais, além de vulnerabilidades de software exploráveis:

• Phishing: Este é o tipo mais popular de engenharia social e continua a ser o principal vetor de ataque para todos os tipos de malware. Os invasores associam e-mails aparentemente legítimos a links e anexos maliciosos para induzir os usuários a instalar malware involuntariamente. Ataques de smishing, vishing, spear phishing e watering hole são formas de phishing e golpes de engenharia social que os invasores usam para enganar as pessoas e fazê-las iniciar a instalação de malware.

• RDP e abuso de credenciais: Envolve o uso de ataques de força bruta ou de preenchimento de credenciais ou a compra de credenciais na dark web, com o objetivo de fazer login nos sistemas como usuários legítimos e, em seguida, infectar a rede com malware. O RDP, um dos favoritos dos invasores, é um protocolo que permite aos administradores acessar servidores e desktops de praticamente qualquer lugar e permite que os usuários acessem remotamente seus desktops. Implementações de RDP inadequadamente protegidas, no entanto, são um ponto de entrada comum de ransomware.

• Vulnerabilidades de software: Eles também são alvos frequentes de infecções por ransomware. Os invasores se infiltram nos sistemas da vítima atacando software sem correção ou desatualizado. Um dos maiores incidentes de ransomware da história, o WannaCry, está ligado à exploração EternalBlue, uma vulnerabilidade em versões não corrigidas do protocolo Windows Server Message Block (SMB).

Etapa 2: Comando e controle

Um servidor de comando e controle (C&C) configurado e operado pelos invasores do ransomware envia chaves de criptografia ao sistema alvo, instala malware adicional e facilita outros estágios do ciclo de vida do ransomware.

Etapa 3: Descoberta e movimento lateral

Esta fase de duas etapas envolve primeiro que os invasores coletem informações sobre a rede da vítima para ajudá-los a entender melhor como lançar um ataque bem-sucedido e, em seguida, espalhem a infecção para outros dispositivos e aumentem seus privilégios de acesso para buscar dados valiosos.

Estágio 4: Roubo malicioso e criptografia de arquivos

Nesse estágio, os invasores exfiltram dados para o servidor C&C para uso em ataques de extorsão no futuro. Os invasores então criptografam os dados e sistemas usando as chaves enviadas de seu servidor C&C.

Etapa 5: Extorsão

Os invasores exigem o pagamento de um resgate. A organização agora sabe que é vítima de um ataque de ransomware.

Etapa 6: Resolução

A organização vítima deve entrar em ação para enfrentar e recuperar do ataque. Isto pode envolver a restauração de backups, a implementação de um plano de recuperação de ransomware, o pagamento do resgate, a negociação com os invasores ou a reconstrução de sistemas do zero.

E como posso me proteger contra Ransomware?

Para se defenderem contra ameaças de ransomware, agências federais como CISA, NCIJFT e o Serviço Secreto dos EUA recomendam que as organizações tomem certas medidas de precaução, tais como:

• Manter backups de dados confidenciais e imagens do sistema, de preferência em discos rígidos ou outros dispositivos que possam ser desconectados da rede.

• Aplicar patches regularmente para ajudar a impedir ataques de ransomware que exploram vulnerabilidades de software e sistema operacional.

• Atualização de ferramentas de segurança cibernética, incluindo software antimalware e antivírus, firewalls, ferramentas de monitoramento de rede e gateways web seguros. Além disso, usando soluções corporativas de segurança cibernética, como orquestração, automação e resposta de segurança (SOAR), detecção e resposta de endpoint (EDR), gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta estendida (XDR). Essas soluções ajudam as equipes de segurança a detectar e responder a ransomware em tempo real.

• Treinamento de funcionários em segurança cibernética para ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware.

• Implementação de políticas de controle de acesso, incluindo autenticação multifatorial, arquitetura de confiança zero, segmentação de rede e medidas semelhantes. Essas medidas podem impedir que o ransomware atinja dados particularmente confidenciais e evitar que os criptoworms se espalhem para outros dispositivos na rede.