O que é um ransomware? | Significado de ransomware

Ransomware é um tipo de malware que bloqueia arquivos de computador até que a vítima pague um resgate.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina ransomware
  • Explique como funciona o ransomware
  • Descreva técnicas de prevenção contra ransomware
  • Liste os famosos ataques de ransomware

Copiar o link do artigo

O que é ransomware?

O ransomware é um software malicioso que bloqueia arquivos e os mantém para resgate. O ransomware pode se espalhar rapidamente por uma rede inteira e, em alguns casos, uma infecção se espalha por várias redes pertencentes a diferentes organizações. A pessoa ou grupo que controla o ransomware desbloqueia os arquivos apenas se a vítima pagar o resgate.

Imagine se o Chuck roubar o laptop da Alice, trancá-lo no cofre e dizer que ela só pode recuperá-lo se pagar a ele US$ 200. É essencialmente assim que os grupos de ransomware operam — a diferença é que em vez de levar os computadores fisicamente e trancá-los, eles o fazem digitalmente.

As estratégias para prevenir infecções de ransomware incluem a varredura de todos os arquivos e do tráfego de rede em busca de malwares, filtragem de consultas de DNS, uso de isolamento de navegadorpara evitar ataques e treinamento de usuários nas melhores práticas de segurança da informação. Embora nenhuma estratégia de prevenção de ransomware seja infalível, manter backups de todos os dados pode ajudar as empresas a se recuperarem mais rapidamente de um ataque de ransomware.

Como funciona o ransomware?

Ataques de ransomware comuns seguem estas etapas básicas:

  1. O ransomware estabelece uma base em um dispositivo ou rede.
  2. Ele criptografa todos os arquivos que encontra.
  3. Ele exibe uma mensagem exigindo pagamento para descriptografar os arquivos.

Criptografia é o processo de embaralhar os dados para que não possam ser lidos, exceto pelas partes que possuem a chave de criptografia, que pode ser usada para reverter a criptografia. A reversão da criptografia é conhecida como descriptografia.

A criptografia é usada para fins legítimos o tempo todo e é um elemento crucial de segurança e privacidade na internet. Mas grupos de ransomware usam a criptografia de forma maliciosa para evitar que qualquer pessoa abra e use os arquivos criptografados, incluindo os proprietários legítimos dos arquivos.

Imagine que o Chuck, em vez de roubar o laptop de Alice, traduza todos os seus arquivos para um idioma que ela não consegue ler. Isso é semelhante à criptografia em um contexto de ransomware — A Alice ainda tem acesso aos arquivos, mas não pode lê-los ou usá-los. Essencialmente, os arquivos estão perdidos até que ela encontre uma maneira de traduzi-los.

Mas, ao contrário de traduzir um idioma, descriptografar dados é quase impossível sem a chave de criptografia. A parte atacante mantém a chave para si mesma e é por isso que ela tem o poder que precisa para exigir o pagamento.

Recursos comuns de pedidos de resgate

Normalmente, um pedido de resgate vem com um limite de tempo: pague antes de um determinado prazo ou os arquivos permanecerão criptografados permanentemente. O preço pode subir com o passar do tempo.

Os grupos de ransomware querem que seja difícil que o pagamento feito pela vítima seja rastreado até eles. Por esse motivo, esses grupos geralmente exigem pagamento por criptomoeda ou outros métodos que são difíceis de rastrear pelas autoridades.

Depois que o resgate é pago, o invasor descriptografa os arquivos remotamente ou envia à vítima a chave de descriptografia. O invasor quase sempre descriptografa os dados criptografados ou fornece a chave assim que o resgate é pago. É do interesse do invasor cumprir sua promessa de desbloquear os dados. Sem essa etapa, as futuras vítimas de ransomware deixarão de pagar o resgate porque sabem que isso resultará em nada e os invasores não ganharão nenhum dinheiro.

Quais são os principais tipos de ransomware?

  • "Crypto" ou ransomware de criptografia: Este é o tipo mais comum. Funciona conforme descrito acima.
  • Ransomware de bloqueio: Em vez de criptografar dados, esse tipo de ransomware simplesmente bloqueia os usuários de seus dispositivos.
  • Doxware: Doxware copia dados pessoais confidenciais e ameaça expô-los, a menos que a vítima pague uma taxa. O Doxware geralmente não criptografa dados.

Uma forma relacionada de malware é o "scareware". O scareware mostra uma mensagem ao usuário alegando que seu dispositivo está infectado com malware e exigindo pagamento para removê-lo. Quando instalado em um dispositivo, o scareware pode ser persistente e difícil de remover. Embora possa bloquear o computador da vítima, geralmente não retem arquivos e dados para resgate como o ransomware.

Como o ransomware chega em um dispositivo ou rede?

Os invasores usam vários métodos para espalhar o ransomware, mas na maioria das vezes, eles usam um tipo de malware chamado "trojan". Um trojan é um arquivo malicioso disfarçado de outra coisa (assim como o cavalo de Tróia do mito disfarçou o exército grego). Os usuários precisam executar trojans para que funcionem e os grupos de ransomware podem enganá-los de várias maneiras:

  • Engenharia social. Frequentemente, arquivos maliciosos são disfarçados como anexos de e-mail inofensivos e gangues de ransomware enviam e-mails direcionados que fazem os destinatários pensarem que precisam abrir ou baixar o anexo malicioso.
  • Downloads drive-by. Um download drive-by ocorre quando a abertura de uma página da web faz com que um arquivo seja automaticamente baixado. Os downloads instantâneos ocorrem em sites infectados ou controlados por um invasor.
  • Infectar aplicativos aparentemente legítimos que os usuários baixam e instalam. Um invasor pode comprometer um aplicativo em que o usuário confia, de forma que a abertura do aplicativo também instale o malware.
  • Criação de aplicativos falsos que na verdade são maliciosos. Às vezes, os invasores até mesmo disfarçam seu malware como software antimalware.

Os invasores também são conhecidos por usar vulnerabilidades para criar worms que se espalham por uma rede inteira (e até mesmo por várias redes) sem que os usuários percebam qualquer ação. Depois que uma exploração de vulnerabilidade desenvolvida pela Agência de Segurança Nacional Americana vazou para o público em 2017, um worm de ransomware, o WannaCry, usou essa exploração para infectar mais de 200.000 computadores quase simultaneamente.

Independentemente do método usado, o objetivo é colocar o arquivo malicioso, também conhecido como carga maliciosa, no dispositivo ou na rede. Depois de executada, a carga maliciosa criptografa os arquivos no sistema infectado.

Antes de fazer isso, ela pode se comunicar com o servidor de comando e controle (C&C) do invasor para receber instruções. Às vezes, um invasor espera o momento oportuno para enviar um comando para criptografar arquivos e, dessa forma, o ransomware pode permanecer inativo e não detectado em um dispositivo ou rede por dias, semanas ou até meses.

O custo dos ataques de ransomware

Um relatório afirmou que o preço médio pago pelas vítimas de ransomware foi de mais de US$ 300.000. Outro relatório constatou que o custo total médio de um ataque de ransomware, em termos de negócios perdidos e outros fatores além do custo do resgate, estava perto de US$ 2 milhões.

Em 2020, uma fonte estimou que o dano financeiro em virtude de ransomware nos 12 meses anteriores foi de mais de US$ 1 bilhão, embora o custo real fosse provavelmente muito mais alto, levando em consideração os serviços perdidos e as vítimas que poderiam ter pago um resgate sem anunciá-lo publicamente.

Há um grande incentivo financeiro para os criminosos realizarem ataques de ransomware, portanto, o ransomware provavelmente continuará sendo uma questão de segurança importante.

Estima-se que 95% das organizações que pagam o resgate de fato recebem seus dados de volta. No entanto, pagar um resgate pode ser uma decisão controversa. Fazer isso envolve dar dinheiro aos criminosos, permitindo que eles financiem ainda mais seus empreendimentos criminosos.

Remover o ransomware

Em alguns casos, pode ser possível remover o ransomware de um dispositivo sem pagar o resgate. As vítimas podem tentar seguir estas etapas:

  1. Isole a máquina infectada, desconectando-a de todas as redes.
  2. Procure e remova arquivos maliciosos usando software antimalware.
  3. Restaure arquivos de um backup ou use uma ferramenta de descriptografia para descriptografar os arquivos.

No entanto, essas etapas costumam ser difíceis de executar na prática, especialmente quando toda uma rede ou data center foi infectado e é tarde demais para isolar o dispositivo infectado. Muitos tipos de ransomware são persistentes e podem se duplicar ou resistir à remoção. E muitos grupos de ransomware hoje usam formas avançadas de criptografia, tornando a descriptografia quase impossível sem a chave.

Prevenção contra ransomware

Como a remoção do ransomware é extremamente difícil, uma abordagem melhor é tentar evitar as infecções por ransomware em primeiro lugar. Estas são algumas das estratégias que podem ajudar:

  • O antimalware pode verificar todos os arquivos para se certificar de que não são maliciosos e não contêm ransomware (isso não detectará todos as variedades de ransomware).
  • Filtragem de DNS pode evitar que os usuários carreguem sites inseguros e, possivelmente, impedir que a carga maliciosa se comunique com o servidor C&C do invasor.
  • O isolamento do navegador pode fechar vários vetores de ameaça possíveis, incluindo downloads drive-by.
  • Os filtros de segurança de e-mail podem sinalizar e-mails e anexos suspeitos.
  • As equipes de TI podem restringir os tipos de aplicativos que podem ser instalados em um dispositivo para evitar que os usuários instalem malware acidentalmente.
  • As equipes de segurança podem treinar os usuários para identificar e-mails suspeitos, evitar clicar em links não confiáveis e carregar sites não seguros e instalar apenas aplicativos seguros e confiáveis.

Mesmo com esses métodos, a prevenção de ransomware não é 100% possível, assim como a prevenção de qualquer ameaça não é 100% possível.

A etapa mais importante que uma empresa pode realizar é fazer backup de seus dados para que, no caso de uma infecção, ela possa mudar para o backup em vez de ter que pagar o resgate.

Quais são alguns ataques de ransomware famosos?

  • CryptoLocker (2013): os ataques de ransomware usando o trojan CryptoLocker ocorreram de setembro de 2013 a maio de 2014 e infectaram centenas de milhares de sistemas. O CryptoLocker se espalha principalmente por meio de anexos de e-mail maliciosos. Estima-se que os invasores ganharam cerca de US$ 3 milhões antes de os ataques serem encerrados.
  • WannaCry (2017): o WannaCry era um worm de ransomware que usava uma exploração de vulnerabilidade chamada EternalBlue para se espalhar de computador para computador; originalmente, essa exploração foi desenvolvida pela NSA. O WannaCry infectou mais de 200.000 computadores em 150 países em 12 de maio de 2017, até que um pesquisador de segurança descobriu como desligar o malware. Os Estados Unidos e o Reino Unido posteriormente determinaram que o ataque se originou da Coreia do Norte.
  • NotPetya (2017): NotPetya era uma variante de uma variedade anterior de malware chamada Petya. O NotPetya infectou organizações em toda a Europa e nos EUA, mas especialmente na Rússia e na Ucrânia.
  • Ryuk (2018): O ransomware Ryuk tem sido amplamente usado visando grandes empresas. Seus operadores exigem resgates pesados das vítimas. O FBI estimou que os atacantes por trás do Ryuk ganharam mais de US$ 61 milhões em pagamentos de resgate em 2018 e 2019. O Ryuk ainda está em uso em 2021.
  • Ataque Colonial Pipeline (2021): O maior oleoduto de combustível dos Estados Unidos foi fechado por um ataque de ransomware em maio de 2021. O FBI afirmou que um grupo de ransomware chamado DarkSide estava por trás do ataque.

O que é um ataque DDoS com resgate?

Semelhante a um ataque de ransomware, um ataque DDoS com resgate é essencialmente uma tentativa de extorsão. Um invasor ameaça realizar um ataque DDoS contra um site ou rede, a menos que o pagamento seja feito. Em alguns casos, o invasor pode começar o ataque DDoS primeiro e depois exigir o pagamento. Ataques DDoS com resgate podem ser interrompidos por um provedor de mitigação de DDoS (como Cloudflare).

Leia sobre resgate DDoS mais detalhadamente.

A Cloudflare ajuda a evitar ataques de ransomware?

Os produtos da Cloudflare bloqueiam vários vetores de ameaças que podem levar a uma infecção de ransomware. A filtragem de DNS da Cloudflare bloqueia sites não seguros. O Isolamento do navegador da Cloudflare impede downloads drive-by e outros ataques baseados em navegador. Finalmente, uma arquitetura Zero Trust pode ajudar a evitar que o ransomware se espalhe dentro de uma rede.