Ransomware o que é e como se proteger

.

Ransomware explicado: Como funciona e como removê-lo

Apesar de um declínio recente, o ransomware ainda é uma ameaça séria. Aqui está tudo o que você precisa saber sobre o malware de criptografia de arquivos e como ele funciona.


 
 

No video acima, eu demonstro como ocorre na prática a infestação do vírus, a encriptação e a decriptação dos dados. Não ensino e não disponibilizo o vírus. Este é um video didático! 

Definição de ransomware

Ransomware é uma forma de  malware  que criptografa os arquivos da vítima. O invasor exige um resgate da vítima para restaurar o acesso aos dados mediante pagamento. 

Os usuários recebem instruções sobre como pagar uma taxa para obter a chave de descriptografia. Os custos podem variar de algumas centenas de dólares a milhares, pagos aos cibercriminosos em Bitcoin.

Como funciona o ransomware

Existem vários vetores que o ransomware pode usar para acessar um computador. Um dos sistemas de entrega mais comuns é o spam de phishing – anexos que chegam à vítima em um e-mail, disfarçados de um arquivo em que deveriam confiar. Depois de baixados e abertos, eles podem assumir o controle do computador da vítima, especialmente se tiverem ferramentas de engenharia social integradas que induzam os usuários a permitir o acesso administrativo. Algumas outras formas mais agressivas de ransomware, como NotPetya , exploram falhas de segurança para infectar computadores sem a necessidade de enganar os usuários.

Há várias coisas que o malware pode fazer depois de assumir o computador da vítima, mas de longe a ação mais comum é criptografar alguns ou todos os arquivos do usuário. Se você quiser os detalhes técnicos, o Infosec Institute tem uma visão detalhada de como vários tipos de ransomware criptografam arquivos . Mas o mais importante a saber é que, ao final do processo, os arquivos não podem ser descriptografados sem uma chave matemática conhecida apenas pelo invasor. O usuário recebe uma mensagem explicando que seus arquivos agora estão inacessíveis e só serão descriptografados se a vítima enviar um pagamento Bitcoin não rastreável ao invasor.

Em algumas formas de malware, o invasor pode alegar ser uma agência de aplicação da lei quedesliga o computador da vítima devido à presença de pornografia ou software pirata e exige o pagamento de uma "multa", talvez para tornar as vítimas menos propensas a denunciar o ataque às autoridades. Mas a maioria dos ataques não se preocupa com essa pretensão. Há também uma variação, chamada leakware ou doxware , na qual o invasor ameaça divulgar dados confidenciais no disco rígido da vítima a menos que um resgate seja pago. Mas como encontrar e extrair essas informações é uma proposta muito complicada para os invasores, o ransomware de criptografia é de longe o tipo mais comum.

Quem é o alvo do ransomware?

Existem várias maneiras diferentes pelas quais os invasores escolhem as organizações que têm como alvo o ransomware . Às vezes, é uma questão de oportunidade: por exemplo, os invasores podem ter como alvo universidades porque tendem a ter equipes de segurança menores e uma base de usuários díspar que faz muito compartilhamento de arquivos, facilitando a penetração em suas defesas.

Por outro lado, algumas organizações são alvos tentadores porque parecem mais propensos a pagar um resgate rapidamente. Por exemplo, agências governamentais ou instalações médicas geralmente precisam de acesso imediato a seus arquivos. Escritórios de advocacia e outras organizações com dados confidenciais podem estar dispostos a pagar para manter as notícias de um comprometimento em sigilo – e essas organizações podem ser especialmente sensíveis a ataques de vazamento.

Mas não se sinta seguro se não se encaixar nessas categorias: como observamos, alguns ransomwares se espalham automática e indiscriminadamente pela Internet.

Como prevenir ransomwares

Há uma série de medidas defensivas que você pode tomar para evitar a infecção por ransomware . Essas etapas são, obviamente, boas práticas de segurança em geral, portanto, segui-las melhora suas defesas contra todos os tipos de ataques:

  • Mantenha seu  sistema operacional corrigido e atualizado  para garantir que você tenha menos vulnerabilidades para explorar.
  • Não  instale software ou conceda privilégios administrativos a menos que você saiba exatamente o que é e o que faz.
  • Instale  um software antivírus , que detecta programas maliciosos como ransomware à medida que chegam, e  software de lista de permissões , que impede a execução de aplicativos não autorizados em primeiro lugar.
  • E, claro,  faça backup de seus arquivos,  com frequência e automaticamente! Isso não impedirá um ataque de malware, mas pode tornar o dano causado por um muito menos significativo.

Remoção de ransomware

Se o seu computador foi infectado com ransomware, você precisará recuperar o controle de sua máquina. Steve Ragan, do CSO, tem um ótimo vídeo demonstrando como fazer isso em uma máquina Windows 10 :

O vídeo tem todos os detalhes, mas os passos importantes são:

  • Reinicie o Windows 10 no modo de segurança
  • Instalar software antimalware
  • Examine o sistema para encontrar o programa de ransomware
  • Restaurar o computador para um estado anterior

Seu software antimalware não necessariamente o protegerá. O ransomware está constantemente sendo escrito e ajustado por seus desenvolvedores e, portanto, suas assinaturas geralmente não são capturadas por programas antivírus típicos. Na verdade, até 75% das empresas que são vítimas de ransomware estavam executando proteção de endpoint atualizada nas máquinas infectadas .

Alguns mercados são particularmente propensos a ransomware – e a pagar o resgate. Muitos ataques de ransomware de alto perfil ocorreram em hospitais ou outras organizações médicas, o que torna alvos tentadores: os invasores sabem que, com vidas literalmente em jogo, é mais provável que essas empresas simplesmente paguem um resgate relativamente baixo para resolver um problema. Estima-se que 45% dos ataques de ransomware visam organizações de saúde e, inversamente, que 85% das infecções por malware em organizações de saúde são ransomware . Outra indústria tentadora? O setor de serviços financeiros, que é, como Willie Sutton observou, onde está o dinheiro. Estima-se que 90% das instituições financeiras foram alvo de um ataque de ransomware em 2017 .   

Ransomware é um grande negócio. Há muito dinheiro em ransomware e o mercado se expandiu rapidamente desde o início da década. Em 2017, o ransomware resultou em US$ 5 bilhões em perdas , tanto em termos de resgates pagos quanto em gastos e perda de tempo na recuperação de ataques. Isso é 15 vezes em relação a 2015. No primeiro trimestre de 2018, apenas um tipo de software de ransomware, SamSam, arrecadou US$ 1 milhão em dinheiro de resgate .

Fatos e números do ransomware

Mas eis o que é importante ter em mente: ao seguir essas etapas, você pode remover o malware do seu computador e restaurá-lo ao seu controle, ele não descriptografará seus arquivos. Sua transformação em ilegibilidade já aconteceu e, se o malware for sofisticado, será matematicamente impossível para alguém descriptografá-lo sem acesso à chave que o invasor possui. Na verdade, ao remover o malware, você excluiu a possibilidade de restaurar seus arquivos pagando aos invasores o resgate que eles pediram.

Ransomware não é tão prevalente como costumava ser. Se você quer uma boa notícia, é esta: o número de ataques de ransomware, depois de explodir em meados dos anos 10, entrou em declínio, embora os números iniciais fossem altos o suficiente para continuar. Mas no primeiro trimestre de 2017, os ataques de ransomware representaram 60% das cargas de malware; agora caiu para 5  %.  

Ransomware em declínio?

O que está por trás dessa grande queda? De muitas maneiras, é uma decisão econômica baseada na moeda de escolha do cibercriminoso: bitcoin. Extrair um resgate de uma vítima sempre foi um acerto ou erro; eles podem não decidir pagar, ou mesmo se quiserem, eles podem não estar familiarizados o suficiente com bitcoin para descobrir como realmente fazê-lo.

Como Kaspersky aponta , o declínio no ransomware foi acompanhado por um aumento no chamado malware de criptomineração , que infecta o computador da vítima e usa seu poder de computação para criar (ou minerar, no jargão das criptomoedas) bitcoin sem que o proprietário saiba. Este é um caminho legal para usar os recursos de outra pessoa para obter bitcoin que contorna a maioria das dificuldades em obter um resgate, e só ficou mais atraente como um ataque cibernético, pois o preço do bitcoin disparou no final de 2017.

Isso não significa que a ameaça acabou, no entanto. Existem dois tipos diferentes de invasores de ransomware: ataques de "commodity" que tentam infectar computadores indiscriminadamente por grande volume e incluem as chamadas plataformas de "ransomware como serviço" que os criminosos podem alugar; e grupos-alvo que se concentram em segmentos de mercado e organizações particularmente vulneráveis. Você deve estar atento se estiver na última categoria, não importa se o grande boom do ransomware já passou.

Com o preço do bitcoin caindo ao longo de 2018, a análise de custo-benefício para os invasores pode voltar. Em última análise, usar ransomware ou malware de criptomineração é uma decisão de negócios para os invasores, diz Steve Grobman, diretor de tecnologia da McAfee. “À medida que os preços das criptomoedas caem, é natural ver uma mudança de volta [para o ransomware].”

Você deve pagar o resgate?

Se o seu sistema foi infectado por malware e você perdeu dados vitais que não podem ser restaurados do backup, você deve pagar o resgate? 

Ao falar teoricamente, a maioria das agências de aplicação da lei pede que você não pague aos invasores de ransomware, com a lógica de que isso apenas incentiva os hackers a criar mais ransomware. Dito isso, muitas organizações que se veem afetadas por malware rapidamente param de pensar em termos de "bem maior" e começam a fazer uma análise de custo-benefício , pesando o preço do resgate em relação ao valor dos dados criptografados. De acordo com uma pesquisa da Trend Micro, enquanto 66% das empresas dizem que nunca pagariam um resgate por princípio, na prática 65% realmente pagam o resgate quando são atingidos.

Os invasores de ransomware mantêm os preços relativamente baixos – geralmente entre US$ 700 e US$ 1.300, um valor que as empresas geralmente podem pagar em curto prazo. Alguns malwares particularmente sofisticados detectarão o país onde o computador infectado está sendo executado e ajustarão o resgate para corresponder à economia desse país, exigindo mais de empresas em países ricos e menos de regiões pobres.

Muitas vezes há descontos oferecidos para agir rápido, de modo a incentivar as vítimas a pagar rapidamente antes de pensar muito sobre isso. Em geral, o ponto de preço é definido de forma que seja alto o suficiente para valer a pena para o criminoso, mas baixo o suficiente para que muitas vezes seja mais barato do que a vítima teria que pagar para restaurar seu computador ou reconstruir os dados perdidos. Com isso em mente, algumas empresas estão começando a construir a necessidade potencial de pagar resgate em seus planos de segurança: por exemplo, algumas grandes empresas do Reino Unido que não estão envolvidas com criptomoedas estão mantendo alguns Bitcoins em reserva especificamente para pagamentos de resgate.

Há algumas coisas complicadas para lembrar aqui, tendo em mente que as pessoas com quem você está lidando são, obviamente, criminosos. Primeiro, o que parece um ransomware pode não ter realmente criptografado seus dados; certifique-se de não estar lidando com o chamado " scareware " antes de enviar dinheiro para alguém. E segundo, pagar aos invasores não garante que você receberá seus arquivos de volta. Às vezes, os criminosos simplesmente pegam o dinheiro e fogem, e podem nem ter construído a funcionalidade de descriptografia no malware. Mas qualquer malware desse tipo obterá rapidamente uma reputação e não gerará receita, portanto, na maioria dos casos - Gary Sockrider, principal tecnólogo de segurança da Arbor Networks,

Exemplos de ransomware

Embora o ransomware esteja tecnicamente disponível desde os anos 90, ele só foi lançado nos últimos cinco anos, em grande parte devido à disponibilidade de métodos de pagamento não rastreáveis, como o Bitcoin. Alguns dos piores infratores foram:

  • CryptoLocker , um ataque de 2013, lançou a era moderna do ransomware e infectou até 500.000 máquinas em seu auge.
  • O TeslaCrypt visou arquivos de jogos e viu melhorias constantes durante seu reinado de terror.
  • SimpleLocker foi o primeiro ataque de ransomware generalizado focado em dispositivos móveis
  • O WannaCry se espalhou de forma autônoma de computador para computador usando o EternalBlue, um exploit desenvolvido pela NSA e depois roubado por hackers.
  • O NotPetya também usou o EternalBlue e pode ter sido parte de um ataque cibernético dirigido pela Rússia contra a Ucrânia.
  • Locky começou a se espalhar em 2016 e era “ semelhante em seu modo de ataque ao notório software bancário Dridex ”. Uma variante, Osiris , foi espalhada por meio de campanhas de phishing.
  • O Leatherlocker foi descoberto pela primeira vez em 2017 em dois aplicativos Android: Booster & Cleaner e Wallpaper Blur HD. Em vez de criptografar arquivos, ele bloqueia a tela inicial para impedir o acesso aos dados.
  • O Wysiwye, também descoberto em 2017, verifica a Web em busca de servidores abertos do Remote Desktop Protocol (RDP). Em seguida, ele tenta roubar credenciais RDP para se espalhar pela rede.
  • O Cerber provou ser muito eficaz quando apareceu pela primeira vez em 2016, rendendo aos invasores US$ 200.000 em julho daquele ano. Ele aproveitou uma vulnerabilidade da Microsoft para infectar redes.
  • BadRabbit se espalhou por empresas de mídia na Europa Oriental e Ásia em 2017.
  • O SamSam existe desde 2015 e tem como alvo principalmente organizações de saúde.
  • Ryuk apareceu pela primeira vez em 2018 e é usado em ataques direcionados contra organizações vulneráveis, como hospitais. É frequentemente usado em combinação com outros malwares como o TrickBot.
  • Maze é um grupo de ransomware relativamente novo conhecido por liberar dados roubados ao público se a vítima não pagar para descriptografá-los.
  • RobbinHood é outra variante do EternalBlue que deixou a cidade de Baltimore, Maryland, de joelhos em 2019.
  • O GandCrab pode ser o ransomware mais lucrativo de todos os tempos. Seus desenvolvedores, que venderam o programa para cibercriminosos, reivindicam mais de US$ 2 bilhões em pagamentos de vítimas em julho de 2019.
  • O Sodinokibi tem como alvo os sistemas Microsoft Windows e criptografa todos os arquivos, exceto os arquivos de configuração. Está relacionado com GandCrab
  • Thanos é o mais novo ransomware desta lista, descoberto em janeiro de 2020. É vendido como ransomware como serviço, é o primeiro a usar a técnica RIPlace, que pode contornar a maioria dos métodos anti-ransomware.        


Boas e Péssimas Práticas - Transferindo arquivos sobre VPN