O que é um Ransomware?

07.12.2018

Ransomware é um tipo de malware (software malicioso) que se apresenta de diferentes maneiras, afetando sistemas individuais assim como redes corporativas, hospitais, aeroportos e agências governamentais.

Ransomwares vem sendo constantemente desenvolvidos e estão ficando cada dia mais sofisticados desde o registro de sua primeira ocorrência em 1989. Enquanto os formatos simples de ransomware não são de encriptação, os modernos se utilizam de métodos de criptografia avançada com o objetivo de encriptar arquivos, tornando-os inacessíveis. Ransomwares de encriptação também podem ser utilizados em discos rígidos com o intuito de bloquear o acesso ao sistema operacional do computador, impedindo a vítima de acessá-lo. O objetivo final é convencer as vítimas a pagarem por um resgate de decodificação – e que geralmente é solicitado através de moedas digitais que são difíceis de rastrear (como o Bitcoin e outras criptomoedas). No entanto não há garantias de que os pagamentos serão honrados pelos invasores.

A popularidade dos ransomwares cresceram significativamente na última década (especialmente em 2017), principalmente como um ataque cibernético motivado financeiramente, este último atualmente é  a ameaça de malware mais proeminente do mundo - conforme relatado pela Europol (IOCTA 2018).


Como as vítimas são feitas?

  • Phishing: uma forma recorrente de engenharia social. Quando falamos de ransomware, os e-mails de phishing são uma das formas mais comuns de distribuição de malware. As vítimas geralmente são infectadas através de anexos de e-mail comprometidos ou links que são disfarçados como legítimos. Dentro de uma rede de computadores, uma única vítima pode ser suficiente para comprometer toda uma organização.

  • Exploit kits: um pacote feito de várias ferramentas maliciosas e código de exploração pré-compilados. Esses kits são projetados para explorar problemas e vulnerabilidades em aplicativos de software e sistemas operacionais, como forma de espalhar malwares (sistemas inseguros com software desatualizado são os alvos mais comuns).

  • Malvertising: invasores fazem uso de redes de publicidade para espalhar o ransomware.


Como se proteger de ataques de ransomware?

  • Use fontes externas para fazer backup de seus arquivos regularmente, para que você possa restaurá-los depois que uma possível infecção for removida;

  • Seja cauteloso com anexos de e-mail e links. Evite clicar em anúncios e sites de origem desconhecida; 

  • Instale um antivírus confiável e mantenha seus aplicativos de software e sistema operacional atualizados;

  • Ative a opção "mostrar extensões de arquivo" nas configurações do Windows para que você possa verificar facilmente as extensões de seus arquivos. Evite extensões de arquivo como .exe .vbs e .scr;

  • Evite visitar sites que não são protegidos pelo protocolo HTTPS (ou seja, URLs que iniciem com "https://"). Tenha em mente, no entanto, que muitos sites mal-intencionados estão implementando o protocolo HTTPS para confundir as vítimas e o protocolo por si só não garante que o site seja legítimo ou seguro.

  • Visite o site NoMoreRansom.org, criado por empresas de segurança pública e de segurança de TI que trabalham para interromper o ransomware. O site oferece kits de ferramentas de descriptografia gratuitos para usuários infectados, bem como conselhos de prevenção.

  

Exemplos de ransomware:

GrandCrab (2018)

Visto pela primeira vez em janeiro de 2018, o ransomware fez mais de 50.000 vítimas em menos de um mês, antes de ser interrompido pelo trabalho das autoridades romenas, juntamente com a Bitdefender e a Europol (um kit gratuito de recuperação de dados está disponível). O GrandCrab foi espalhado se utilizando de malvertising e phishing, e foi o primeiro ransomware conhecido a exigir um pagamento de resgate na criptomoeda DASH. O resgate inicial variou de 300 a 1.500 dólares.


WannaCry (2017)

Um ciberataque mundial que infectou mais de 300.000 computadores em 4 dias. O WannaCry foi propagado por meio de uma exploração conhecida como EternalBlue e foi direcionado a sistemas operacionais Microsoft Windows (a maior parte dos computadores afetados estavam executando o Windows 7). O ataque foi interrompido devido a patches de emergência lançados pela Microsoft. Especialistas em segurança dos EUA alegaram que a Coréia do Norte foi responsável pelo ataque, embora nenhuma evidência tenha sido fornecida.


Bad Rabbit (2017)

Um ransomware que foi espalhado como uma atualização falsa do Adobe Flash Player que foi baixada de sites comprometidos. A maioria dos computadores infectados estavam localizados na Rússia e a infecção dependia da instalação manual de um arquivo .exe. O preço para a descriptografia era de aproximadamente 280 dólares americanos no momento (0,05 BTC).


Locky (2016)

Geralmente distribuído por e-mail contendo um boleto exigindo pagamento. Este boleto era um anexo infectado. Em 2016, o Hollywood Presbyterian Medical Center foi infectado por Locky e pagou um resgate de 40 BTC (17 mil dólares americanos na época) para recuperar o acesso aos sistemas de computadores do hospital.

Loading