Scroll to top

O que é ransomware? Entenda como funciona e como se defender desse tipo de ataque cibernético


Josué Adil - - 0 comments

 

Primeiramente Ransomware é uma forma de malware ou seja um “software malicioso,” que prejudica os sistemas e também os dados do usuário.

Após o “ataque” a vítima recebe instruções sobre como proceder para obter a chave. Esse resgate pode variar de algumas centenas a milhares de dólares, pagos ​​aos criminosos em bitcoin.

Prontos para saber mais a fundo como essa prática ocorre e deste modo conseguir evitar dores de cabeça? Então continue comigo.

A história do ransomware

Os primeiros relatos de surgimento de ransomware foram relatados na Rússia em seguida em outras partes da Europa Oriental entre 2005 e 2009.

No início os métodos de pagamento online não eram populares como são hoje, e isso dificultava os meios de se cobrar os resgates,algumas vítimas na Europa e nos Estados Unidos eram instruídas a pagar resgates por mensagens SMS ou com cartões pré-pagos.

Mas o crescimento dos métodos de pagamento digital, em especial o bitcoin, contribuiu muito para a infestação do ransomware. Bitcoin se tornou o método mais popular para exigir resgate porque ajuda a tornar as transações anônimas para evitar que invasores fossem rastreados.

De acordo com a Symantec, algumas das primeiras versões de ransomware exibiam imagens pornográficas na máquina da vítima e exigiam pagamento para removê-las. A vítima era orientada a fazer pagamentos por meio de mensagens de texto SMS ou ligando para um telefone com tarifa premium que geraria a receita ao invasor.

Como um ransomware funciona

Como falado no início, se você tivesse seu computador infectado por ransomwares teria imagens pornográficas sendo exibidas na tela do computador. E naquele momento formatar um computador em último caso não era algo tão difícil.

Entretanto, esses ataques não eram eficazes, logo os invasores evoluíram fazendo que a máquina infectada travasse o funcionamento dos acessórios como teclado, mouse, etc.

Tornando a partir desse momento impossível ao usuário realizar o backup e formatar a máquina sem perder seus dados.

No entanto, ainda era possível descobrir formas de se contornar os problemas e recuperar com um pouco de trabalho os dados e realizar a formatação.

Porém, a partir da criação do Cryptware, o ransomware evoluiu para o que existe hoje. O malware bloqueia os arquivos usando uma chave privada que apenas o invasor possui, a partir daí ao invés de bloquear o hardware. Sendo assim os ataques passam a ser mais eficazes. Logo o usuário tem seus dados bloqueados e é informado que um resgate em dinheiro é necessário para poder recuperar seus arquivos.

Nos dias de hoje um ransomware não afeta apenas computadores, eles evoluíram e já afetam smartphones. Em 2015, o ransomware In the Wild disfarçou-se de um aplicativo pornô. O chamado aplicativo Porn Droid tinha como alvo os usuários do Android e permitia que atacantes travassem o telefone e mudassem seu número PIN, enquanto exigia um resgate de US$ 500 das vítimas para recuperar o acesso.

Naquele mesmo ano o Departamento Federal de Investigação americana o FBI emitiu um alerta sobre diversos tipos de ransomware que estavam sendo disseminados. Tudo isso como forma de prevenir que mais pessoas fossem prejudicadas, já que diversas empresas, agências governamentais, instituições acadêmicas e até mesmo agentes da lei foram vítimas.

Como ocorre o ataque por ransomware

Sobretudo o usuário é infectado por ransomware quando abre link ou arquivo de e-mail de desconhecidos. Porém nos dias de hoje o normal é tentarem enganar o usuário enviando cobranças, ações jurídicas inexistentes, causando um momento de distração fazendo o usuário muitas vezes abrir o conteúdo no momento de um possível susto. Mas não só por ação do usuário ocorrem as invasões, um computador pode ser infectado diretamente, caso eles possuam acesso a uma porta que esteja comprometida.

Logo após o ransomware infecta todos os arquivos, fotos, vídeos, etc. E ao acessar os dados será exibido uma uma mensagem informando sobre o resgate.

Ataques por ransomware são lucrativos?

Nesse ponto podemos dizer que os ataques atingem sempre usuários, porém com 2 cenários. O primeiro caso atinge o usuário simples em sua casa e que coloca apenas seus arquivos em risco.

Mas não para por aqui… Pois no segundo caso o usuário está em um ambiente corporativo onde computadores estão ligados em rede. E nesse caso acaba não só infectando sua máquina, mas toda uma rede de computadores e principalmente servidores. Servidores esses que normalmente concentram toda a informação necessária para manter em funcionamento uma empresa.

Invasões em ambiente residencial

Infelizmente o negócio de resgate está crescendo e muito, só no Brasil no ano de 2020 os ataques de ransomware aumentam em 715% segundo relatório do Bitdefender.
Todavia só para se ter idéia de quão lucrativo pode ser um ransomware, em 2012, a Symantec obteve acesso a um servidor de comando e controle usado pelo malware CryptoDefense, o que se descobriu foi assustador para a época.

Esse ataque infectou cerca de 5700 computadores em um único dia. Durante o acesso foram identificadas 2 contas de bitcoin usadas para receber os resgates de pessoas que infelizmente cediam ao ataque. O resgate com um custo médio de US$200 por computador cerca de 3% das vítimas pagavam o valor exigido.

Calculando temos cerca de US$ 34.200 somente naquele dia, nesse mesmo ritmo estamos falando em aproximadamente US$ 1 milhão de dólares em um mês. Tudo isso baseado apenas em um único servidor que a Symantec teve acesso. Porém em uma operação dessa magnitude é certo que os invasores deveriam estar realizando ataques através de diversos servidores e direcionando os resgates para mais contas de bitcoins.

Contudo esses valores são apenas uma estimativa, podendo ser mais ou menos, tudo depende de quão eficaz é a técnica de persuasão utilizada para levar o usuário a clicar no arquivo.

Invasões em ambiente corporativo

Aqui irei abordar dentre inúmeros ataques que ocorreram nos últimos anos, somente os realizados pelo grupo hacker conhecido com REvil.

  • Quanta Computer: em abril de 2021 o grupo roubou informações de produção da Apple, e o valor de resgate foi de US$ 50 milhões.
  • Colonial Pipeline: responsável por fornecer combustíveis na costa leste dos Estados Unidos, a empresa pagou US$ 5 milhões como resgate ao REvil para restaurar as suas operações; o ataque causou escassez de gás na região.
  • JBS: o grupo brasileiro de alimentos teve as suas operações paralisadas na Austrália, Canadá e Estados Unidos; para restaurar seus sistemas, a companhia pagou um resgate de US$ 11 milhões ao REvil.
  • Kaseya: o REvil infectou uma atualização do sistema Kaseya VSA, que posteriormente foi distribuída a clientes. Centenas ou milhares de empresas foram infectadas na sequência, aqui o valor de resgate foi de US$ 70 milhões.

Como posso me defender de um ransomware

Embora existam métodos para lidar com uma infecção de ransomware, eles são, na melhor das hipóteses, soluções imperfeitas. E para isso muita habilidade técnica é necessária para o usuário médio de computador. Portanto, aqui está o que recomendamos que as pessoas façam para evitar a precipitação de ataques de ransomware.

Manter sistema operacional sempre atualizado, possuir e manter atualizado um bom antivírus, consegue proteger de muitos ataques menos elaborados de ransomware.

Outra dica de ouro e que também é uma recomendação básica! Nunca clique em links de remetentes desconhecidos, mesmo de contatos confiáveis quando enviam arquivos suspeitos que normalmente aquela pessoa não enviaria.

Outra dica é sempre que for abrir um link veja se o link realmente te envia para onde diz de fato.

Sendo assim, nunca deixe de lado uma rotina de backup que pode ser facilmente automatizada em nuvem ou até mesmo em unidade de disco removível.

Conclusão

Enfim, a cada dia que passa novos meios são elaborados para conseguir “geração de renda” criminosa, e por isso devemos estar preparados.

Todavia se proteger e manter seus dados a salvo nos dias de hoje são um desafio e tanto.

Para isso, muitas empresas têm investido em educação na área de cibersegurança, mas não somente empresas têm procurado por qualificação de seus colaboradores. Atualmente, pessoas que lidam com dados sensíveis e que não querem amargar um golpe nas mãos de cibercriminosos também estão indo à procura de treinamentos.

Para isso, nós da ACADI-TI possuímos a certificação CSCU desenvolvida pela gigante de cibersegurança EC-Council. Esse treinamento é desenvolvido para pessoas que necessitam trabalhar na frente de um computador e que não querem se tornar um refém.

As certificações são vistas como a construção de uma base de conhecimento. A Certified Secure Computer User CSCU é a ideal para iniciantes entre as certificações internacionais, com foco principal em aspectos técnicos da segurança da informação.

Em outras palavras, um bom conhecimento de segurança começa com um entendimento sólido dos fundamentos. O que torna o CSCU tão aplicável a administradores de sistemas quanto aos pentesters.

Se você quiser fazer parte da elite do mercado de cibersegurança, junte-se a nós e venha sem um Acadiano.

Related posts