O termo ransomware se refere a um tipo de malware que, após comprometer um computador, sequestra suas informações para extorquir dinheiro das vítimas, solicitando o pagamento de uma quantia em criptomoedas para recuperação esses dados. A palavra é um acrônimo para as palavras ransom (resgate) e software.
A seguir, contaremos tudo o que você precisa saber sobre essa ameaça digital que nos últimos tempos teve um crescimento significativo e que, depois do surto do WannaCry em 2017, está gerando um impacto significativo na cibersegurança afetando pequenas, médias e grandes empresas em vários setores, bem como órgãos governamentais, instituições educacionais e de saúde em todo o mundo.
Como funciona o ransomware?
Existem diferentes tipos de ransomware, dependendo das ações que executam no computador, quando conseguem comprometê-lo, e de acordo com o método de extorsão utilizado:
- Ransomware de criptografia ou criptoransomware: utiliza a criptografia para codificar arquivos no computador comprometido, impedindo que o usuário os acesse. Este tipo de ransomware é o mais comum, o mais moderno e o mais eficaz e, embora possa ser facilmente removido do computador, a informação que foi comprometida é difícil ou – na maioria das vezes - impossível de recuperar. Geralmente visa atacar extensões de arquivo de interesse dos usuários, como arquivos de automação de escritório, multimídia, bancos de dados, etc. Ele também é capaz de criptografar unidades removíveis e unidades de rede mapeadas dentro do computador. O principal sintoma de um computador comprometido por um ransomware criptográfico é a mudança nas extensões dos arquivos e a incapacidade de abri-los.
- Ransomware de bloqueio de tela ou lockscreen: pouco comum hoje em dia, embora ainda popular em arquiteturas como telefones e tablets com Android, o objetivo desse tipo de ransomware é impedir o uso e acesso ao computador até que seja feito o pagamento do resgate. Os primeiros ransomwares de disseminação em massa se enquadravam nessa categoria e usavam técnicas simples para assumir o controle da tela do computador. Esta forma primitiva de ransomware é mais fácil de remover e geralmente tem consequências menores para os usuários.
Como o ransomware infecta um computador?
Em termos gerais, no mundo do crime cibernético encontramos tanto campanhas de malware que buscam distribuir malware de forma massiva e aleatória, quanto ataques direcionados que usam código malicioso para afetar empresas e organizações de todos os tipos de setores.
A forma mais comum de distribuição de ransomware é por meio de e-mails de phishing com anexos ou links que tentam enganar os usuários por meio da engenharia social para convencê-los a baixar a ameaça. Outras formas de distribuição são por meio de ataques a conexões remotas, como o Remote Desktop Protocol (RDP), aproveitando o uso de senhas fracas. Também através da exploração de vulnerabilidades - por exemplo, através de sites comprometidos usados para redirecionar seus visitantes a diferentes tipos de exploits -, bem como de dispositivos USB, download de software pirata, entre outros.
Como já destaquei anteriormente, grande parte dos ataques começa com o engano das pessoas que fazem uso do sistema, utilizando qualquer uma das inúmeras técnicas que compõem a Engenharia Social, e também através de ataques a conexões remotas como o RDP. No entanto, os atacantes também podem tentar obter controle remoto do sistema, explorando vulnerabilidades em computadores desatualizados e mal configurados e/ou sem nenhuma solução de segurança instalada.
Quando eu pago o resgate, os arquivos são descriptografados?
Embora o acesso aos arquivos possa ser restaurado após o pagamento do resgate, esta não é a melhor solução. Além de estimular a atividade criminosa, nada pode garantir a recuperação dos arquivos e até mesmo motivar futuras tentativas de ataque agora que os criminosos sabem que a vítima está disposta a pagar. Por estes motivos, apelamos à prevenção e ao investimento em segurança para minimizar o risco de um ataque.
Não uso o Windows… Estou protegido contra ransomware?
Não, você está vulnerável.
A principal razão para a criação de malwares é o lucro econômico. Por isso, os atacantes tendem a gerar uma quantidade maior de códigos maliciosos para as plataformas mais utilizadas e com maior número de vítimas. No entanto, nos últimos anos, os ataques de ransomware pararam de se concentrar em afetar o maior número possível de usuários, para se concentrar em um grupo menor de vítimas, das quais se exige grandes somas de dinheiro pelo resgate de suas informações. De fato, nos últimos tempos, os valores em dinheiro solicitados pelos criminosos aumentaram consideravelmente. Em parte, isto se deve ao fato de que os ataques estão direcionando a alvos previamente analisados e que, a critério dos atacantes, possuem recursos para realizar o pagamento do resgate ou estimam que as consequências que um ataque pode causar nesse alvo em particular provocará pressão suficiente para que se inclinem à opção de pagar.
Embora haja uma grande variedade de ransomwares para plataformas Microsoft, também há ransomwares para computadores Apple, distribuições Linux, celulares e outras arquiteturas de Internet das Coisas (IoT). Por isso é tão importante que os usuários adotem ferramentas de proteção e boas práticas na utilização de todos os seus dispositivos.
Ransomware: uma ameaça em constante evolução
Além da mudança de foco que tiveram nos últimos anos, de ataques massivos para ataques direcionados, com o tempo os atacantes também adicionaram mais recursos para aumentar o perigo e a eficácia de suas criações. Um exemplo disso é o terrível WannaCry que em 2017 paralisou centenas de sistemas a nível mundial em um ataque sem precedentes e foi definido como o primeiro “ransomworm”; ou seja, um tipo de ransomware com propriedades de worm capaz de se espalhar sem a ajuda do usuário, aproveitando falhas de segurança presentes em outros computadores da mesma rede. No caso do WannaCry, ele se aproveitou de uma vulnerabilidade conhecida como EternalBlue que afetou o serviço de compartilhamento de arquivos do Windows.
No final deste mesmo ano, outro tipo de ransomware também foi identificado, chamado Wiperware, um tipo de malware que se assemelha ao criptoransomware. Além de criptografar as informações, ele também tenta criptografar - geralmente com sucesso - o registro de inicialização principal ou MBR (Master Boot Record), tornando o sistema operacional inutilizável.
No final de 2019, começou a ser observada uma tendência de ataques de ransomware que agora é uma realidade: fazer uso de uma técnica conhecida como doxing, que consiste em obter dados confidenciais das vítimas e ameaçar torná-los públicos, a menos que a extorsão seja paga. Isso certamente aumenta a pressão sobre as vítimas, pois não se trata apenas de recuperar as informações criptografadas, mas também de evitar que os dados roubados sejam tornados públicos. Como explica o ESET Quarterly Threat, os operadores por trás do ransomware Maze foram os primeiros a adotar a prática de doxing em seus ataques. Embora suas campanhas tenham começado a ser detectadas em maio de 2019, a partir de outubro começaram a incluir o vazamento de informações das vítimas como parte da ameaça. Pouco tempo depois, essa modalidade de extorsão foi adotada por mais grupos de ransomware que, por sua vez, adicionaram outras modalidades de extorsão para aquelas vítimas que não estão interessadas em chegar a um acordo, como ligações frias e ataques DDoS.
Por outro lado, a direcionalidade dos ataques levou os cibercriminosos a evoluir, o que levou a incluir muito mais sofisticação e planejamento. Agora, eles precisam estudar em profundidade os alvos que almejam, o que em muitos casos implica um período em que os atacantes, após o envolvimento inicial, exploram a rede com o objetivo de coletar informações de interesse e conhecer os recursos da vítima, para logo liberar o ransomware no sistema. Isso permite, entre outras coisas, determinar o valor máximo que a vítima pode pagar pelo resgate.
Outro aspecto que vale a pena notar como parte dessa evolução é o Ransomware as a Service (RaaS), um modelo que permite que cibercriminosos mesmo sem grande conhecimento técnico iniciem uma campanha de ransomware contratando a criação de malware como serviço ou somando-se como afiliados para distribuir a ameaça em troca de uma porcentagem dos lucros. Este modelo, hoje muito popular, foi descoberto há algum tempo através de uma ferramenta chamada Tox, que permitia a criação desse tipo de malware de forma automática, independentemente dos conhecimentos técnicos de quem a utiliza.
Da mesma forma, o ransomware de código aberto (cuja primeira referência foi chamada de Hidden Tear), desencadeou novos cenários para o desenvolvimento desse tipo de programas maliciosos e suas variantes, onde é possível a criação rápida de malware cada vez mais sofisticado e massivo, mediante a melhora do código preexistente.
O que fazer ao ser vítima dessa ameaça?
A ação a tomar após ser comprometido por um ransomware dependerá das medidas de segurança tomadas antes da ocorrência do incidente. Se você tiver um backup, poderá restaurar as informações a partir dele. Se o seu backup estiver desatualizado, você pode avaliar quanta informação pode ser restaurada e, se suficiente, evitar o pagamento. Caso não possua um backup ou ele também esteja comprometido, caberá às vítimas decidir se desejam correr o risco de efetuar o pagamento. Como mencionamos anteriormente, trata-se de uma prática não recomendada.
Se tiver a habilidade necessária, pode extrair a amostra de ransomware do computador para identificar qual variante específica conseguiu se infiltrar no sistema, usando serviços como o VirusTotal para analisar o arquivo. Também podemos escanear nosso computador com uma solução de segurança para que ela detecte o código malicioso e nos informe a qual família de ransomware a ameaça pertence. Assim que tivermos esta informação, podemos usar os buscadores, como o Google, para ver se existe alguma ferramenta que nos permita recuperar os arquivos. Atenção! Muitas páginas prometem ferramentas de descriptografia de arquivo, mas na verdade buscam aproveitar o pânico do usuário para instalar outros malwares no computador. Sempre visite sites confiáveis. Lembre-se de que, na verdade, para a maioria dos ransomwares, não há como recuperar arquivos depois de afetados.
Outra dica que você pode seguir, caso tenha se tornado uma vítima de um ransomware, é executar algum programa como o Recuva ou ShadowExplorer, já que algumas amostras desatualizadas de ransomware usam uma exclusão de arquivos insegura que permite às vítimas recuperarem arquivos com ferramentas de restauração de arquivos. Observe que essas técnicas de recuperação de arquivos já são bem conhecidas pelos atacantes e as novas versões de ransomware garantem que os arquivos não possam ser recuperados dessa forma.
Em qualquer caso, algo que sempre deve ser feito após um incidente de segurança é uma análise dele para determinar por que aconteceu e corrigir a situação no futuro para evitar novos ataques. A chave para combater o ransomware é a prevenção.
Como um usuário doméstico se protege contra o ransomware?
A maneira mais simples de poder proteger um computador sem ter conhecimento técnico é instalando uma solução de segurança que nos permite bloquear tentativas de explorar vulnerabilidades, executar malware ou acessar sites perigosos.
É importante atualizar todos os aplicativos e sistemas operacionais para garantir a instalação dos patches de segurança mais recentes. Além disso, ter um backup de suas informações atualizado é crucial para lidar com o ransomware.
Também é recomendável ter cuidado com os anexos de e-mails e outros links que podem ser encontrados durante a navegação na internet. Os sites falsos tentarão atrair a confiança do usuário, fazendo-se passar por organizações de renome, oferecendo prêmios e promoções ou respondendo ao medo dos usuários. Por exemplo, as campanhas de disseminação de malware usaram a pandemia para espalhar trojans, passando-se por autoridades de saúde locais.
Como última dica, o uso de ferramentas de criptografia para arquivos confidenciais, como fotos, vídeos e documentos pessoais, pode ajudar a evitar pressões extras se os atacantes decidirem extorquir dinheiro das vítimas publicando os arquivos on-line.
Como as empresas podem se proteger contra essa ameaça?
O conceito de um sistema seguro está mudando conforme a tecnologia e o crime cibernético evoluem. Hoje sabemos que a segurança da informação resulta de uma combinação de camadas de proteção cuidadosamente implantadas. O ato isolado de instalar uma solução de segurança por si só não será suficiente, pois a superfície de exposição das empresas e pessoas aumentou drasticamente.
As empresas devem projetar cuidadosamente os mecanismos de segurança que precisam implementar. Assim, uma correta análise de risco se traduzirá na instalação de soluções de segurança para a detecção de infecções (antimalware), a gestão de backups de segurança, proteção dos processos de autenticação em redes empresariais através do fator de dupla autenticação, implementação de soluções de prevenção, detecção e monitoramento, criptografia de arquivos, desempenho de inteligência de ameaças, entre outros. A adequação das ferramentas necessárias para criar uma arquitetura de segurança aprofundada (ou seja, segurança em camadas) será decisiva na detecção precoce de ameaças.
A aquisição de tecnologias de proteção deve ser acompanhada de uma boa gestão da segurança por meio de políticas e educação para os usuários. Os planos devem ser elaborados para públicos específicos, construídos a partir dos resultados esperados e pensados para chamar a atenção do seu público, buscando manter os diversos atores interessados em se atualizar.
Em particular, algumas dicas básicas para se proteger contra o ransomware são as seguintes:
- Tenha uma cópia de backup atualizada
A ferramenta mais importante que temos para derrotar o ransomware é ter um backup atualizado regularmente. Desta forma, se for possível restaurar o sistema para o instante anterior ou desinfetar o computador e restaurar os documentos que estavam infectados da cópia de backup, estamos evitando chegar ao ponto de pagar para resolver o problema. Além disso, deve-se levar em conta que o backup pode ser comprometido se estiver conectado ao computador onde a infecção começou, portanto, uma boa política de backup deve ser elaborada para evitar essa situação.
- Instale uma solução de segurança
É sempre uma boa ideia ter um software antimalware e um firewall para identificar comportamentos suspeitos ou ameaças. Os cibercriminosos frequentemente lançam novas variantes de códigos conhecidos para evitar a detecção, por isso é importante ter ambas as camadas de proteção.
- Use ferramentas para criptografar arquivos
O ransomware criptografa principalmente arquivos com certas extensões, como imagens, vídeos, bancos de dados ou documentos de escritório. Usando uma solução de criptografia, é possível fazer um arquivo sobreviver intacto a uma infecção por ransomware.
- Capacite a equipe sobre os riscos de segurança
Ao nível empresarial é necessário acompanhar a inclusão das tecnologias de defesa com a criação de planos de capacitação para alertar os colaboradores sobre os riscos existentes on-line e como evitá-los.
- Mostrar extensões ocultas por padrão
Frequentemente, uma das formas em que o ransomware se apresenta é em arquivos com uma extensão dupla (por exemplo, ".PDF.EXE"), aproveitando as configurações padrão do Windows para ocultar as extensões de tipos de arquivo conhecidos. Ao modificar as opções do sistema para ver as extensões de arquivo completas, será mais fácil detectar arquivos suspeitos.
- Analisar anexos de e-mail
A maioria das infecções de ransomware começa com um anexo de e-mail. Por este motivo é importante estabelecer regras no servidor de e-mails para a análise de arquivos anexados e o bloqueio de mensagens que contenham arquivos .EXE, .SCR, extensão dupla ou qualquer outra extensão referente a um executável.
- Desative os arquivos executados nas pastas AppData e LocalAppData
É possível desabilitar esses tipos de comportamento por meio das políticas locais ou de rede do seu sistema ou por meio de um software de prevenção de intrusões. Desta forma, você evitará infecções por muitas variantes de ransomware e também infecções por malware em geral.
- Desative o RDP quando não for necessário
O ransomware pode acessar máquinas usando o protocolo Remote Desktop, que permite que terceiros acessem seu computador remotamente. Se não for necessário, ele pode ser desativado para proteger sua máquina contra acesso impróprio.
- Atualize o software de dispositivo de escritório, celular e de rede
Os cibercriminosos costumam se basear em softwares desatualizados com vulnerabilidades conhecidas para usar um exploit e invadir o sistema. Gerenciando a instalação frequente de updates de segurança, é possível aumentar as barreiras de proteção contra qualquer tipo de malware.
- Crie políticas de segurança e comunique-as aos funcionários
A gestão através da criação de políticas de segurança e da geração de canais de comunicação para que os colaboradores as conheçam e respeitem, poupará muitas dores de cabeça ao evitar infecções que se propagam a partir da utilização da Engenharia Social.
Como sabemos que um sistema de proteção de informações deve ser pensado como um conjunto de camadas sobrepostas, na ESET oferecemos diferentes produtos voltados para cada uma dessas camadas. Em particular, desenvolvemos o Kit Antiransomware, que consiste em uma combinação ideal de nossos produtos para enfrentar esse tipo de ameaça em ambientes empresariais. O kit inclui nossa solução integral antimalware, ferramentas para gerenciar criptografia e cópias de restauração, além de um conjunto complexo de materiais educacionais que as empresas podem usar para educar seus usuários e construir planos de treinamento robustos.
Você também pode encontrar mais informações sobre esse malware em nosso Guia de Ransomware e ler as notícias mais recentes sobre ransomware no WeLiveSecurity.