Ransomware é um tipo de malware que bloqueia arquivos de computador até que a vítima pague um resgate.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
O que é um ataque de engenharia social?
Cargas maliciosas
Ataque on-path
O que é estouro de buffer?
O que é injeção de SQL?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O ransomware é um software malicioso que bloqueia arquivos e os mantém para resgate. O ransomware pode se espalhar rapidamente por uma rede inteira e, em alguns casos, uma infecção se espalha por várias redes pertencentes a diferentes organizações. A pessoa ou grupo que controla o ransomware desbloqueia os arquivos apenas se a vítima pagar o resgate.
Imagine se o Chuck roubar o laptop da Alice, trancá-lo no cofre e dizer que ela só pode recuperá-lo se pagar a ele US$ 200. É essencialmente assim que os grupos de ransomware operam — a diferença é que em vez de levar os computadores fisicamente e trancá-los, eles o fazem digitalmente.
As estratégias para prevenir infecções de ransomware incluem a varredura de todos os arquivos e do tráfego de rede em busca de malwares, filtragem de consultas de DNS, uso de isolamento de navegadorpara evitar ataques e treinamento de usuários nas melhores práticas de segurança da informação. Embora nenhuma estratégia de prevenção de ransomware seja infalível, manter backups de todos os dados pode ajudar as empresas a se recuperarem mais rapidamente de um ataque de ransomware.
Ataques de ransomware comuns seguem estas etapas básicas:
Criptografia é o processo de embaralhar os dados para que não possam ser lidos, exceto pelas partes que possuem a chave de criptografia, que pode ser usada para reverter a criptografia. A reversão da criptografia é conhecida como descriptografia.
A criptografia é usada para fins legítimos o tempo todo e é um elemento crucial de segurança e privacidade na internet. Mas grupos de ransomware usam a criptografia de forma maliciosa para evitar que qualquer pessoa abra e use os arquivos criptografados, incluindo os proprietários legítimos dos arquivos.
Imagine que o Chuck, em vez de roubar o laptop de Alice, traduza todos os seus arquivos para um idioma que ela não consegue ler. Isso é semelhante à criptografia em um contexto de ransomware — A Alice ainda tem acesso aos arquivos, mas não pode lê-los ou usá-los. Essencialmente, os arquivos estão perdidos até que ela encontre uma maneira de traduzi-los.
Mas, ao contrário de traduzir um idioma, descriptografar dados é quase impossível sem a chave de criptografia. A parte invasor mantém a chave para si mesma e é por isso que ela tem o poder que precisa para exigir o pagamento.
Normalmente, um pedido de resgate vem com um limite de tempo: pague antes de um determinado prazo ou os arquivos permanecerão criptografados permanentemente. O preço pode subir com o passar do tempo.
Os grupos de ransomware querem que seja difícil que o pagamento feito pela vítima seja rastreado até eles. Por esse motivo, esses grupos geralmente exigem pagamento por criptomoeda ou outros métodos que são difíceis de rastrear pelas autoridades.
Depois que o resgate é pago, o invasor descriptografa os arquivos remotamente ou envia à vítima a chave de descriptografia. O invasor quase sempre descriptografa os dados criptografados ou fornece a chave assim que o resgate é pago. É do interesse do invasor cumprir sua promessa de desbloquear os dados. Sem essa etapa, as futuras vítimas de ransomware deixarão de pagar o resgate porque sabem que isso resultará em nada e os invasores não ganharão nenhum dinheiro.
Uma forma relacionada de malware é o "scareware". O scareware mostra uma mensagem ao usuário alegando que seu dispositivo está infectado com malware e exigindo pagamento para removê-lo. Quando instalado em um dispositivo, o scareware pode ser persistente e difícil de remover. Embora possa bloquear o computador da vítima, geralmente não retem arquivos e dados para resgate como o ransomware.
Os invasores usam vários métodos para espalhar o ransomware, mas na maioria das vezes, eles usam um tipo de malware chamado "trojan". Um trojan é um arquivo malicioso disfarçado de outra coisa (assim como o cavalo de Tróia do mito disfarçou o exército grego). Os usuários precisam executar trojans para que funcionem e os grupos de ransomware podem enganá-los de várias maneiras:
Os invasores também são conhecidos por usar vulnerabilidades para criar worms que se espalham por uma rede inteira (e até mesmo por várias redes) sem que os usuários percebam qualquer ação. Depois que uma exploração de vulnerabilidade desenvolvida pela Agência de Segurança Nacional Americana vazou para o público em 2017, um worm de ransomware, o WannaCry, usou essa exploração para infectar mais de 200 mil computadores quase simultaneamente.
Independentemente do método usado, o objetivo é colocar o arquivo malicioso, também conhecido como carga maliciosa, no dispositivo ou na rede. Depois de executada, a carga maliciosa criptografa os arquivos no sistema infectado.
Antes de fazer isso, ela pode se comunicar com o servidor de comando e controle (C&C) do invasor para receber instruções. Às vezes, um invasor espera o momento oportuno para enviar um comando para criptografar arquivos e, dessa forma, o ransomware pode permanecer inativo e não detectado em um dispositivo ou rede por dias, semanas ou até meses.
Um relatório afirmou que o preço médio pago pelas vítimas de ransomware foi de mais de US$ 300 mil. Outro relatório constatou que o custo total médio de um ataque de ransomware, em termos de negócios perdidos e outros fatores além do custo do resgate, estava perto de US$ 2 milhões.
Em 2020, uma fonte estimou que o dano financeiro em virtude de ransomware nos 12 meses anteriores foi de mais de US$ 1 bilhão, embora o custo real fosse provavelmente muito mais alto, levando em consideração os serviços perdidos e as vítimas que poderiam ter pago um resgate sem anunciá-lo publicamente.
Há um grande incentivo financeiro para os criminosos realizarem ataques de ransomware, portanto, o ransomware provavelmente continuará sendo uma questão de segurança importante.
Estima-se que 95% das organizações que pagam o resgate de fato recebem seus dados de volta. No entanto, pagar um resgate pode ser uma decisão controversa. Fazer isso envolve dar dinheiro aos criminosos, permitindo que eles financiem ainda mais seus empreendimentos criminosos.
Em alguns casos, pode ser possível remover o ransomware de um dispositivo sem pagar o resgate. As vítimas podem tentar seguir estas etapas:
No entanto, essas etapas costumam ser difíceis de executar na prática, especialmente quando toda uma rede ou data center foi infectado e é tarde demais para isolar o dispositivo infectado. Muitos tipos de ransomware são persistentes e podem se duplicar ou resistir à remoção. E muitos grupos de ransomware hoje usam formas avançadas de criptografia, tornando a descriptografia quase impossível sem a chave.
Como a remoção do ransomware é extremamente difícil, uma abordagem melhor é tentar evitar as infecções por ransomware em primeiro lugar. Estas são algumas das estratégias que podem ajudar:
Mesmo com esses métodos, a prevenção de ransomware não é 100% possível, assim como a prevenção de qualquer ameaça não é 100% possível.
A etapa mais importante que uma empresa pode realizar é fazer backup de seus dados para que, no caso de uma infecção, ela possa mudar para o backup em vez de ter que pagar o resgate.
Semelhante a um ataque de ransomware, um ataque DDoS com resgate é essencialmente uma tentativa de extorsão. Um invasor ameaça realizar um ataque DDoS contra um site ou rede, a menos que o pagamento seja feito. Em alguns casos, o invasor pode começar o ataque DDoS primeiro e depois exigir o pagamento. Ataques DDoS com resgate podem ser interrompidos por um provedor de mitigação de DDoS (como Cloudflare).
Leia sobre resgate DDoS mais detalhadamente.
Os produtos da Cloudflare bloqueiam vários vetores de ameaças que podem levar a uma infecção de ransomware. A filtragem de DNS da Cloudflare bloqueia sites não seguros. O Isolamento do navegador da Cloudflare impede downloads drive-by e outros ataques baseados em navegador. Finalmente, uma arquitetura Zero Trust pode ajudar a evitar que o ransomware se espalhe dentro de uma rede.