O que é Ransomware?

Uma terminologia que temos ouvido e lido muito, principalmente nos últimos dois anos nos deparamos com esse jargão, principalmente em um contexto negativo onde alguma organização foi vítima de um ataque de ransomware e assim por diante.

Ransomware é um tipo de software malicioso, também conhecido como malware (outro jargão que é usado com bastante frequência) que é uma ameaça potencial para restringir dados ou publicá-los em fórum público, causando risco comercial potencial. Isso geralmente é feito criptografando os dados em que a vítima tem que pagar um resgate ao invasor para liberar os dados. Normalmente, nesses casos, há um prazo para a vítima pagar o resgate. Caso a vítima não cumpra o prazo, o invasor apagará os dados. Na melhor das hipóteses, o invasor aumentará o valor do resgate com um prazo revisado.

Os ataques de malware são bastante comuns nos dias de hoje e vimos muitas organizações da América do Norte e da Europa serem vítimas desses ataques. Esses invasores cibernéticos não têm critérios definidos, pois podem atacar qualquer conjunto de clientes ou qualquer organização em verticais do setor.

Muitas agências como o FBI e alguns governos se abstêm de pagar tais resgates. Na verdade, existe um projeto especial chamado No Ransom Project, uma organização sem fins lucrativos que trabalha com o objetivo de não dar resgate aos cibercriminosos. Além disso, observa-se que as vítimas que pagam o resgate estão sujeitas a repetidos ataques de ransomware

Histórico de ataques de ransomware

Se olharmos para a história dos ataques de ransomware, ela remonta a 1989, quando o 'AIDS Virus' foi usado por invasores cibernéticos para extorquir fundos das vítimas. Uma vez que os pagamentos para este ataque foram liberados (por correio) para o Panamá, a chave de descriptografia também foi liberada por correio.

No ano de 1996, dois indivíduos Moti Yung e Adam Young, da Universidade de Columbia, introduziram uma definição de ransomware e cunharam o termo “extorsão criptoviral”. Esses dois acadêmicos apresentaram o primeiro ataque de virologia criptográfica no ano de 1996 em uma conferência do IEEE, que foi uma conferência de segurança e privacidade.

Ao longo de um período de tempo, vimos inovações no espaço de ataques cibernéticos e ataques de ransomware. Os ciberataques tornaram-se criativos ao pedir pagamentos de resgate que são praticamente impossíveis de rastrear. Dessa forma, esses criminosos cibernéticos mantêm o anonimato de seu paradeiro. Como vimos um aumento no uso de criptomoedas como Bitcoin, vimos um aumento considerável nos ataques de ransomware.

Se olharmos para o padrão, os ataques de ransomware tornaram todos os setores vítimas, sendo o ataque mais famoso o do Presbyterian Memorial Hospital. Foi um ataque maciço onde laboratórios, farmácias e salas de emergência foram vítimas disso.

Como funciona um ransomware?

Como mencionado anteriormente, o ransomware é um tipo de malware criado para extorquir dinheiro das organizações, criptografando seus dados e bloqueando o acesso a eles. Vemos principalmente dois tipos de ransomwares - um conjunto é conhecido como criptografadores e o outro conjunto é conhecido como armários de tela. Como o nome é autoexplicativo, os criptografadores criptografam os dados, tornando-os redundantes sem uma chave de descriptografia. No entanto, os armários de tela apenas bloqueiam o acesso ao sistema implantando uma “tela de bloqueio”.

Nesse cenário, geralmente as vítimas veem uma tela de bloqueio que tem uma mensagem para comprar criptomoeda como Bitcoin para pagar o resgate. Assim que o resgate é pago, as organizações recebem a chave de descriptografia e podem tentar descriptografar os arquivos. No entanto, não há nenhuma regra ou ética que esses invasores cibernéticos sigam. Às vezes, mesmo após o pagamento do resgate, as vítimas não recebem as chaves de descriptografia. Na pior das hipóteses, o malware ainda está instalado mesmo após o pagamento do resgate.

Normalmente, esses ataques de malware corporativo começam com um e-mail suspeito. Um usuário pode abrir esse e-mail sem suspeitar de nada e isso apenas abre uma lata de worms.

Quem está em risco?

Quando falamos de ransomware, qualquer gadget ou dispositivo conectado à internet é um risco potencial de se tornar vítima de um ataque de malware. O ransomware geralmente verifica um dispositivo local e qualquer dispositivo conectado à rede, o que significa que a rede local de uma organização também corre o risco de se tornar uma vítima.

Portanto, se um dispositivo estiver conectado à Internet, torna-se um pré-requisito para a organização garantir que as atualizações de segurança mais recentes e os sistemas de segurança de endpoint estejam em vigor para evitar qualquer tipo de entrada maliciosa desses invasores cibernéticos.

Impacto do ransomware nos negócios?

É uma declaração não escrita de que qualquer empresa vítima de ransomware terá perdas que podem chegar a milhões de dólares. Além disso, cria um efeito cascata de perda de novos negócios. Mesmo que uma empresa seja recuperada, os funcionários precisam gastar muitas horas para criar os dados que perderam, causando milhares de horas de perda de produtividade. Uma das primeiras coisas que qualquer ataque de malware faz é interromper a produtividade da organização. Portanto, é pertinente que as organizações façam a contenção como a primeira tarefa. A realização de uma análise de causa raiz ajuda a identificar a vulnerabilidade, mas se causar atrasos, terá um sério impacto na produtividade e na receita.

Exemplos de Ransomware

Embora os exemplos de ransomware sejam abundantes para todas as entidades comerciais, existem alguns cruciais que se destacam, o que pode ajudar a estabelecer a base para qualquer organização evitar esses ataques de ransomware. Vejamos alguns exemplos

WannaCry – Foi um vírus poderoso em torno de uma vulnerabilidade da Microsoft que foi aproveitada por esses ciberataques para infectar mais de 250.000 sistemas. No entanto, antes que pudesse se espalhar para mais sistemas, um interruptor de interrupção foi acionado para pará-lo. Proofpoint – um nome no espaço de segurança e privacidade, foi implantado para obter detalhes do ransomware.

BadRabbit – este foi considerado um ransomware visível, cujo principal alvo eram empresas de mídia na região da Rússia e Ucrânia. Assim que o resgate foi pago, BadRabbit forneceu o código de descriptografia. Suspeita-se que o vírus tenha se espalhado por meio de um Flash Player falso.

NotPetya – dito ser o irmão mais velho de BadRabbit, NotPetya foi um dos ataques de malware mais devastadores. Ele aproveitou a vulnerabilidade como o WannaCry e começou a se espalhar rapidamente. Exigiu um resgate em bitcoins, no entanto, o NotPetya não conseguiu desfazer as alterações no registro mestre de inicialização, o que significava que o sistema de destino se tornava irrecuperável.

Estes são alguns dos principais exemplos de malware. Houve outros, como CryptoLocker, REvil, Ryuk e muitos mais.

Pensamentos finais

Ransomware não vai embora. Enquanto houver pessoas mal intencionadas, veremos consistentemente inovação nessa área. Isso é evidente em uma estatística do FBI, que afirma que cerca de 4.000 ataques de ransomware ocorrem todos os dias. Embora o ransomware e o vírus sejam tipos diferentes de malware, o ransomware essencialmente não é um vírus, porque não se replica como um vírus.

A única maneira de as organizações se manterem protegidas contra esses ataques de ransomware é continuar inovando seus sistemas de segurança e também educar os usuários sobre possíveis ameaças de ransomware, incluindo e-mails maliciosos e outras fontes.