por karina

21 nov 2018

Ransomware: o que é e como funciona

Ransomware é um tipo de malware que se instala no sistema da vítima e sequestra seus dados exigindo pagamento para o resgate (ransom) dos dados ou do sistema que o usuário utiliza.

Como forma de escapar do rastreamento, os criminosos virtuais costumam pedir o pagamento do resgate por meio de Bitcoins ou de qualquer outro tipo criptomoeda que não exija um grande conhecimento por parte do usuário. Para se ter uma ideia do quanto um ataque pode ser lucrativo, um Bitcoin hoje está cotado em quase 17 mil reais.

Para quem está pouco preocupado, a Cisco disponibilizou o relatório “Cisco 2017 Midyear Cybersecurity Report”. O estudo aponta que uma das tendências do ano foram as campanhas de Ransomware, o que deu origem à criação de plataformas de Ransoware-as-a-Service (RaaS).

Ou seja, é possível contratar uma plataforma especializada em ataques de Ransonware direcionados para empresas ou corporações. Até mesmo o status da “campanha” é mensurável.

ransomware bad rabbit

Ransomware Bad Rabbit, lançado na Rússia em 2017, com o objetivo de ser um ataque mundial. (Forbes)

No ano passado, um caso de Ransomware ocorreu com a base de dados de uma faculdade. O cibercriminoso conseguiu sequestrar os dados de cerca de 30 mil alunos e pediu como resgate o pagamento no valor de 1 Bitcoin, sob a ameaça de exposição dos dados sensíveis de alunos e funcionários.

Como ocorre o ataque de Ransomware?

Esse tipo de ataque geralmente começa com um e-mail recebido contendo um malware em anexo ou um link para um site malicioso (o famoso phishing). Pode acontecer ainda por um pop-up adware (propaganda) exibido em algum site. Neste caso, aparece um alerta na tela do usuário de que ele foi infectado e que, para resolver o problema, precisa clicar no link fornecido.

Por conta da sofisticação que este tipo de ciberataque foi alcançando ao longo dos anos, os criminosos deixaram os vírus do tipo “As fotos da festa ficaram ótimas.exe”. Apesar de e-mails com links ou anexos maliciosos ainda estarem em voga, a veracidade destes é assustadora para usuários e empresas.

Além disso, a engenharia social – conjunto de técnicas em que hackers se utilizam da persuasão e ingenuidade das vítimas, física ou virtualmente, para conseguirem engendrar ataques a pessoas ou corporações – é um dos grandes métodos de atuação para a prática do Ransomware.

Propagandas maliciosas, por e-mails ou plataformas de redes sociais, costumam ser as grandes armadilhas para usuários menos experientes. Por isso, é bom ficar de olho e lembrar-se: se parece suspeito, provavelmente é.

Como acontece um ataque de Ransomware.

Como acontece um ataque de Ransomware.

Quais tipos de Ransomware existem?

Apesar de existirem diversas nomenclaturas para os Ransomwares, existem tipos específicos de atuação conhecidos como “variantes”. Uns mais perigosos que outros, mas todos com um potencial destrutivo enorme, seja da vida financeira da instituição, seja da sua privacidade.

  • Scareware – Dentre os existentes, é o menos perigoso. Eles são softwares maliciosos que aparecem inicialmente como avisos – geralmente apelando para nomes de softwares de segurança e antivírus legítimos –, que pedem pagamentos em troca de uma suposta desinfecção. No entanto, o que ocorre é que o usuário baixa um malware que rouba e envia seus dados para os cibercriminosos;
  • Lock Screen – São aqueles em que o usuário tem a sua tela bloqueada. É um problema maior, já que ele sequer consegue acessar seu sistema operacional, a não ser pelo pagamento do resgate. Comumente, os dados dos usuários não estão realmente criptografados, mas ele pensa que está, o que faz com que acabe pagando o resgate;
  • Criptografia – Definitivamente, este é o tipo mais grave de infecção do seu sistema e o mais comum. Aqui, os dados que estiverem no sistema operacional são sequestrados e criptografados, impedindo o acesso do usuário. Basicamente, não há meios de descriptografar a não ser os indicados pelo cibercriminoso.

Adianta pagar pelo resgate?

Talvez. Mas a indicação do FBI é de que o resgate não seja pago. Em primeiro lugar, não há garantia alguma de que o acesso será restituído ou que o controle dos dados passará a ser completamente seu ou da sua organização. Além disso, o pagamento do resgate incentiva que mais ataques sejam lançados, melhorados e direcionados.

Infelizmente, nem sempre o pagamento do resgate é o objetivo final destes ataques. Em campanhas direcionadas, o principal objetivo são os dados sensíveis de corporações que podem ser vendidos facilmente no mundo underground da Web.

A única alternativa aceitável para o pagamento do resgate é quando existe um cenário extremo: quando os dados são absolutamente indispensáveis, urgentes, e quando não há nenhuma outra hipótese ou alternativa de recuperá-los por meio de backups.

O que fazer após a contaminação?

Bom, caso você ou a sua empresa sejam contaminados por algum tipo de Ransomware, é necessário identificar quais dos tipos de Ransomware que você foi vítima. Em todo caso, é recomendável alertar as autoridades, principalmente quando houver envolvimentos de dados críticos ou sistemas corporativos. É possível contratar alguma empresa com experiência na área para a resolução ou mitigação de perdas.

Como se proteger de Ransomware?

“É melhor prevenir do que remediar”, já dizia o ditado. Sem dúvidas, é o consenso entre os especialistas em segurança. Por mais que existam softwares que descriptografem arquivos, eles podem não ter eficácia garantida. É possível até mesmo que você acabe por criptografar ainda mais, quando se utiliza o código incorreto para o tipo de criptografia utilizada.

Apesar de ser assustador, tanto para usuários comuns, quanto para as corporações de diversas naturezas, é possível defender-se de um ataque Ransomware. Deve-se ter os mesmos cuidados que são utilizados para evitar outros tipos de ameaças digitais, quando se implementam soluções de segurança para dispositivos finais, Firewalls para o perímetro de rede e data center e os Next Generation Firewalls (NGFW).

Para a proteção contra as táticas de Engenharia Social, funcionários e usuários externos que tenham acesso à rede devem receber treinamento e conscientização. Evitar a prática do Bring Your Own Device (BYOD) não é uma boa ideia. Os usuários vão utilizar seus próprios dispositivos e a sua equipe de TI terá muito trabalho para identificar de onde partiu a contaminação e as possíveis brechas de segurança.

Além disso, ter sempre cuidado com links, mesmo que provenientes de empresas legítimas, que parecem suspeitos. Se parecem, provavelmente são.

Outras das táticas para precaver-se da perda de dados é a prática de Backup regulares. Existem serviços que funcionam, por exemplo, em Cloud Computing, que são escaláveis e pagos conforme a utilização por tempo e por espaço utilizado.

Gostou do assunto e quer saber mais sobre segurança na rede? Entre em contato com o nosso time de especialistas sobre as soluções da Teltec Solutions para proteger o seu ambiente do Ransomware e outros tipos de ataques.

Categorias



Acompanhe nossas novidades nas redes sociais!