Ransomware

Origem: Wikipédia, a enciclopédia livre.

Ransomware é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas[1] (como em um sequestro) para que o acesso possa ser restabelecido, que torna praticamente impossível o rastreamento do criminoso que pode vir a receber o valor. Este tipo de "vírus sequestrador"[2] age codificando os dados do sistema operacional de forma com que o usuário não tenha mais acesso. Uma vez que algum arquivo do Windows esteja infectado, o malware irá codificar os dados do usuário, em segundo plano, sem que ninguém perceba. Quando tudo estiver pronto, emitirá um pop-up avisando que a máquina está bloqueada e que o usuário não poderá mais utilizá-la, a menos que pague o valor exigido para obter a chave que dá acesso novamente aos seus dados.

Caso não ocorra o pagamento, arquivos podem ser perdidos e até mesmo publicados.[3][4] De acordo com um relatório da Cisco, dominou o mercado de ameaças digitais em 2017 e é o tipo de malware mais rentável da história.[5] O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos.[6]

Um exemplo deste tipo de malware é o Arhiveus-A, que compacta arquivos no computador da vítima em um pacote criptografado. Em seguida informa que os arquivos somente poderão ser recuperados com o uso de uma chave difícil de ser quebrada, geralmente de 30 dígitos, que a vítima receberá após efetuar sua compra em um site do atacante. Trata-se de um golpe ou de fato uma ação extorsiva pois esse tipo de hacker (crackers), mesmo após o pagamento do resgate, pode ou não fornecer a chave para descriptografar os arquivos.

Diferentemente dos trojans, os ransomwares não permitem acesso externo ao computador infectado. A maioria é criada com propósitos comerciais. São geralmente, e com certa facilidade, detectados por antivírus, pois costumam gerar arquivos criptografados de grande tamanho, embora alguns possuam opções que escolhem inteligentemente quais pastas criptografar ou, então, permitem que o atacante escolha quais as pastas de interesse.

Cripto-ransomware[editar | editar código-fonte]

A criptografia é o elemento-chave do cripto-ransomware, uma vez que todo o seu plano de negócios depende do uso bem-sucedido da criptografia para bloquear os arquivos ou sistemas de arquivos das vítimas sem planos de recuperação, como backups de dados.

O funcionamento do ransomware que criptografa arquivos foi concebido e implementado por Adam L. Young e Moti Young na Universidade de Columbia e foi apresentado em 1996[7]. Embora o AIDS Trojan já contivesse a extorsão e a criptografa arquivos, este malware possuía como fraqueza o fato de que a chave de desencriptação poderia ser extraída do seu próprio código. Por outro lado, o protocolo do cripto-ransomware envolve três passos:

1 - Atacante vítima: o atacante gera um par de chaves e libera o malware com uma chave pública. A chave privada correspondente é mantida secreta pelo atacante.

2 – Vítima Atacante: o vírus se espalha e afeta o sistema da vítima. Os arquivos são criptografados simultaneamente (criptografia híbrida) por uma chave local gerada aleatoriamente e pela chave pública. São gerados textos cifrados simétricos e assimétricos. Para recuperar seus dados, a vítima geralmente é extorquida para enviar ao atacante uma quantia em criptomoedas e a chave assimétrica.

3 - Atacante vítima: o atacante recebe o pagamento e a chave assimétrica. O atacante descriptografa a chave assimétrica com a sua chave privada e envia a chave simétrica descoberta para a vítima. A vítima pode, então, resgatar seus arquivos com a chave simétrica recebida.

Em nenhum momento a chave privada é revelada para a vítima e a chave simétrica é gerada aleatoriamente. Dessa forma, a mesma chave simétrica não pode ser usada para múltiplas vítimas.

Isso não significa que a criptografia é intrinsecamente maligna. Na verdade, é uma ferramenta poderosa e legítima empregada por indivíduos, empresas e governos para proteger os dados de acesso não autorizado, como o sistema de Ukash. Assim como qualquer outra ferramenta poderosa, algoritmos de criptografia podem ser mal utilizados, que é exatamente o que o crypto-ransomware faz.[8]

Como ocorre o ataque de ransomware?[editar | editar código-fonte]

Esse tipo de ataque geralmente começa com um e-mail recebido contendo um malware em anexo ou um link para um site malicioso (o famoso phishing). Pode acontecer ainda por um pop-up adware (propaganda) exibido em algum site. Neste caso, aparece um alerta na tela do usuário de que ele foi infectado e que, para resolver o problema, precisa clicar no link fornecido.[carece de fontes?]

O que fazer após a contaminação?

Bom, caso você ou a sua empresa sejam contaminados por algum tipo de ransomware, é necessário identificar quais dos tipos de ransomware que você foi vítima.

Uma vez que o computador esteja bloqueado, é muito difícil a remoção do ransomware, pelo fato que o usuário não consegue sequer acessar seu o sistema. Por isso, toda ação preventiva é válida. O melhor caminho é manter o antivírus sempre atualizado e programá-lo para fazer buscas regulares no sistema em busca desses vírus, para que ele seja detectado antes que ativado.

É fundamental ter sempre backup atualizado de suas informações e arquivos, caso precise formatar totalmente o computador infectado, para não perder nenhum arquivo importante. Aplicam-se as mesmas orientações para demais malwares: não clique em links de SPAM do e-mail, sempre verifique a fonte dos vídeos ou links, mantenha seus softwares atualizados apenas instale programas de sites confiáveis[9].

Histórico de ataques relevantes[editar | editar código-fonte]

A ideia de se utilizar criptografia associada a um ciberataque com um vírus conhecido surgiu em meados da década de 90. Em um artigo publicado por Adam L. Young e Moti Young publicado em 1996, os pesquisadores abordam o conceito de “criptovírus” e o potencial de utilização da criptografia para ataques massificados envolvendo extorsão a partir da modificação dos dados do computador da vítima por meio da criptografia.

O primeiro ataque documentado de ransomware ocorreu em 1989, afetando o setor da saúde. O AIDS (Trojan horse) (ou PC Cyborg) foi iniciado pelo pesquisador PHD Joseph Popp. O ransomware, após a nonagésima reinicialização do computador, criptografava os nomes de todos os arquivos do drive C:, inutilizando o computador e exigindo o resgate de US$ 189.

Os ataques ransomware se tornaram mais comum no início dos anos 2000, sendo os mais populares à época Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, and MayArchive[10].

Em 2013 um salto significativo impulsionou uma nova onda de ransomwares: a possibilidade de utilizar bitcoin para coletar o dinheiro de extorsão, com o CryptoLocker.

WannaCry

'WannaCry' ou 'WCry' ou 'WanaCrypt0r' é o crypto-ransomware mais famoso mundialmente, por ter sido utilizado no ataque de maior rede infecciosa da história, conhecido como 'O ataque do ransomware WannaCry', ocorrido em maio de 2017.[11] Ele infecta os sistemas operacionais Microsoft Windows desatualizados, sequestrando os arquivos do usuário, que seriam liberados apenas após pagamento de resgate em bitcoins.[12] Foi utilizado em larga escala contra organizações tanto públicas ou privadas, como empresas de telecomunicações e organizações governamentais, mas também contra computadores pessoais.[11]

BadRabbit

'BadRabbit' é um crypto-ransomware que infecta a partir de uma falsa requisição de atualização do Adobe Flash, confirmada pela vítima no momento que permite a instalação, encontrada principalmente em sites de notícias comprometidos.[11][13] Uma vez dentro do computador hospedeiro, o cibercriminoso tem acesso a credenciais do usuário que o possibilitam disseminar a infecção para toda rede local nativa do computador.[14] Após isso os arquivos são encriptados e é exigido um resgate em bitcoins no qual os valores progridem conforme o prazo de pagamento atual expira.[15] Há registros de contaminações na Europa, mas principalmente no leste europeu, na Rússia e Ucrânia.[16]

Cerber

'Cerber' é um crypto-ransomware oferecido como 'Ransomware-as-a-service' ou 'Ransomware como serviço'.[17] Nesse modelo de negócio, o software é cedido pelo desenvolvedor para utilização de outros cibercriminosos, dos quais exige-se comissões dos resgates bem-sucedidos.[17] É difundido pela disseminação de arquivos maliciosos anexados em correspondências de e-mail que quando abertos infectam a máquina e conectam-se a um site malicioso, de onde é instalado o ransomware em si.[18] Após a infecção os arquivos são encriptados e uma nota de resgate será exibida para a vítima. Os valores também progridem conforme o prazo de pagamento atual expira.[18]

Darkside

Darkside é um Ransonware-as-a-service (RaaS) o grupo Darkside desenvolve ransomware para cibercriminosos e recebe uma parte dos lucros dos ataques. Em maio de 2021 um dos maiores incidentes de cibersegurança na história dos Estados Unidos, envolvendo a empresa Colonial Pipeline, que opera o maior gasoduto do país, foi atribuído ao grupo. O ataque teria tido origem por uma invasão na rede corporativa por meio de uma VPN inativa, cuja senha estava na darkweb.[19]

Crysis

'Crysis' é um crypto-ransomware que dissemina-se também através arquivos maliciosos anexados a correspondências de e-mails, propagados pelo disparo de campanhas de SPAM e infecta apenas sistemas operacionais Microsoft Windows.[11] Quando instalado e terminado o processo de encriptação, é exibida uma nota de resgate que pode disfarçar-se de mecanismo de proteção e segurança do próprio sistema.[20]

Locky

'Locky' é um tipo de crypto-ransomware ainda mais perigoso pois encripta uma grande variedade de arquivos de uso ordinário, o que causa bloqueio da maioria das funções regulares da máquina.[11] É disseminado também a partir de campanhas de e-mail SPAM, mas apresenta-se como faturas de pagamento, tendo anexadas mensagens sem sentido para que solicitando permissão para ativar um macro, a vítima seja enganada a pensar que está autorizando a decodificação da mensagem.[21] Nesse momento, o malware é instalado no computador, realiza a encriptação e bloqueia a maioria das funções comuns, para depois exibir a nota de resgate.[11]

Jigsaw

'Jigsaw' é um tipo de crypto-ransomware dos mais destrutivos pois exclui os arquivos encriptados na regularidade de hora em hora, até o prazo de 72 horas da infecção se não pago o resgate, quando todos os arquivos são deletados completamente.[11] O malware também intimida a vítima a não reiniciar o computador, ameaçando deletar os arquivos caso feito.[11] É facilmente identificável, pois o programa exibe na sua nota de resgate a imagem de Jigsaw, icônico vilão da série 'Jogos Mortais'.[22]

Petya

'Petya' é uma familia de crypto-ransomwares que foi primeiramente descoberta em 2016 pela grande campanha de engenharia social empreendida no mesmo ano. Por ela inúmeros e-mails anexados com arquivos infecciosos propagaram variantes do malware Petya por todo o mundo culminando em 2017 com um dos maiores ciber-ataques da história do mundo. O software se beneficia de uma vulnerabilidade nos sistemas operacionais Microsoft Windows para infectá-lo e assim encriptar os arquivos e exibir uma mensagem de resgate. No entanto, após estudos, especialistas dizem o Petya ter adquirido características de wiper, ou seja, um software malicioso cujo objetivo é destruir os arquivos ao invés de criptografá-los, sem chance de recuperação.[23]

GoldenEye

'GoldenEye' é um tipo de crypto-ransomware da família Petya, muito semelhante ao próprio. O malware é distribuído por meio de campanhas maliciosas de e-mail massivas contendo dois tipos de arquivos. O conteúdo da correspondência geralmente é uma oferta de emprego e está escrito em alemão. Em anexo há dois tipos de arquivos: um currículo falso e o outro, um arquivo excel malicioso que se aberto abre uma requisição para que o usuário habilite os macros de seu sistema operacional. Quando habilitado, o arquivo excel irá gerar um arquivo e executará o ransomware.[24]

Reveton

'Reveton' é um tipo de locky-ransomware dos mais antigos conhecidos, que ao invés de criptografar os arquivos, bloqueia a tela do computador. Apesar de inacessíveis, os arquivos mantém-se íntegros e são recuperados mediante a um resgate. Na tela de bloqueio, é exibida uma falsa comunicação de crime, cujo procurador seria o governo, alegando que a máquina fora bloqueada por ter sido utilizada para fins ilícitos, exigindo portanto uma quantia em dinheiro para ser desbloqueada.[25]

Maze ransomware

'Maze ransomware' é um crypto-ransomware que em 2019 tornou-se famoso por prejudicar diversas instituições ao longo do mundo, principalmente na área da saúde. É também distribuído como um RaaS, no esquema de desenvolvedor-afiliado, no qual os desenvolvedores vendem os softwares para criminosos e exigem uma porcentagem da quantia do resgate. Os ataques eram direcionados principalmente a grandes corporações pois o grupo de desenvolvedores se especializou na extorsão por meio da ameaça de vazamento de dados sensíveis extraídos dos sistemas de informação das instituições vítimas. .[26]


Como se proteger de ransomware?[editar | editar código-fonte]

Por mais que existam softwares que descriptografem arquivos, eles podem não ter eficácia garantida. É possível até mesmo que você acabe por criptografar ainda mais, quando se utiliza o código incorreto para o tipo de criptografia utilizada.[carece de fontes?]

Apesar de ser assustador, tanto para usuários comuns, quanto para as corporações de diversas naturezas, é possível defender-se de um ataque ransomware. Deve-se ter os mesmos cuidados que são utilizados para evitar outros tipos de ameaças digitais, quando se implementam soluções de segurança para dispositivos finais, firewalls para o perímetro de rede e data center e os Next Generation Firewalls (NGFW).[carece de fontes?]

Detecção

Diversos serviços, como a Microsoft, já possuem meios de detecção e sinalização de que um ataque de ransomware foi efetuado, para que o usuário possa proteger ou excluir seus dados pessoais e evitar que a invasão seja bem sucedida[27].  

Mitigação

O cuidado com a exposição de dados na internet pode aliviar o risco de sofrer o golpe, pois mesmo que existam muitas formas de ransomware, a redução de informações disponíveis diminui as chances de ser mais uma vítima. Além disso, evitar o ingresso em links e sites que não possuem segurança também é uma forma de precaução.[carece de fontes?]

Combate

Os antivírus são uma importante defesa contra o ransomware, suas funcionalidades vão da detecção até a destruição do problema. Assim como existem variedades incontáveis de ataques, existem diversas formas de combate, que envolvem inclusive a criptografia para dificultar o acesso dos invasores.[carece de fontes?]

Quais tipos de ransomware existem?[editar | editar código-fonte]

Apesar de existirem diversas nomenclaturas para os ransomwares, existem tipos específicos de atuação conhecidos como “variantes”. Uns mais perigosos que outros, mas todos com um potencial destrutivo enorme, seja da vida financeira da instituição, seja da sua privacidade.

Scareware – Dentre os existentes, é o menos perigoso. Eles são softwares maliciosos que aparecem inicialmente como avisos – geralmente apelando para nomes de softwares de segurança e antivírus legítimos –, que pedem pagamentos em troca de uma suposta desinfecção. Ele é a porta de entrada para ransomwares mais perigosos que podem bloquear todo o sistema.[carece de fontes?]

Lock Screen – São aqueles em que o usuário tem a sua tela bloqueada. É um problema maior, já que ele sequer consegue acessar seu sistema operacional, a não ser pelo pagamento do resgate.[carece de fontes?]

Os criminosos podem extorquir as vítimas de diversas maneiras com intuito de coagi-las a pagarem os resgates dos sequestros. Os mais comuns são:

Sites de Doxxing corporativo e 'Victim Shaming'

Nesse caso, os cibercriminosos, munidos de dados corporativos e pessoais, os expõem progressivamente em sites específicos a fim de coagir as vítimas, condicionando o fim da exposição ao pagamento do resgate.[28]

Leilões de venda de dados

Dependendo do valor das informações, os cibercriminosos podem escolher por vendê-los em leilões de venda online de dados para também garantir que o esforço do ataque seja financeiramente recompensado, caso não lhes seja depositado o resgate. Já ocorreram na história leilões onde foram negociados dados de vítimas de alto status social, como Lady Gaga, Madonna e Donald Trump.[28]

Ataque DDoS

Os cibercriminosos podem somar um ataque DDoS ao ransomware, principalmente contra corporações, para ocasionar ainda mais transtornos e obrigá-los a pagar o resgate.[28]

Contato direto e mídia

Contra organizações corporativas, os criminosos podem contactar partes interessadas como fornecedores, acionistas, clientes e também jornalistas e mídia especializada para cobrir e expor o ataque, coagindo os executivos a pagar o valor de resgate.[28]

Ver também[editar | editar código-fonte]

Notas e Referências

  1. «O que é um ransomware?». Tecnoblog. 17 de janeiro de 2019. Consultado em 1 de fevereiro de 2019 
  2. «O que é Ransomware?». TechTudo. Consultado em 29 de agosto de 2021 
  3. Karas, Eduardo. «Ransomware: conheça o invasor que sequestra o computador». tecmundo.com.br. Consultado em 2 de abril de 2015 
  4. «Ransomware». trendmicro.com (em inglês). Consultado em 2 de abril de 2015 
  5. Cisco 2016 Midyear Cybersecurity Report publicado pela Cisco (2016)
  6. Cara McGoogan e James Titcomb. (13 de maio de 2017) The Telegraph. What is WannaCry and how does ransomware work?. Acesso em 14 de maio de 2017.
  7. Yung, Adam L. Young, Moti. «Cryptovirology: The Birth, Neglect, and Explosion of Ransomware». cacm.acm.org (em inglês). Consultado em 13 de setembro de 2021 
  8. How encryption molded crypto-ransomware por Cassius Puodzius, publicado por "Welivesecurity" (2016)
  9. «7 tips to prevent ransomware». us.norton.com (em inglês). Consultado em 29 de agosto de 2021 
  10. «A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All Time». Digital Guardian. 19 de novembro de 2018. Consultado em 29 de agosto de 2021 
  11. a b c d e f g h «What is Ransomware? | Different Types of Ransomware Attack». Comodo Enterprise (em inglês). Consultado em 29 de agosto de 2021 
  12. «WannaCry: tudo que você precisa saber sobre o ransomware». TechTudo. Consultado em 29 de agosto de 2021 
  13. Perekalin, Alex. «Bad Rabbit: nova epidemia de ransomware usa sites contaminados». Kapersky. Consultado em 24 de agosto de 2021 
  14. «Bad Rabbit, novo surto de ransomware». Prolinx. 27 de outubro de 2017. Consultado em 29 de agosto de 2021 
  15. Ventura, Felipe (25 de outubro de 2017). «Um ataque do ransomware Bad Rabbit está causando estragos em diversos países». Tecnoblog. Consultado em 24 de agosto de 2021 
  16. «Tudo sobre o Bad Rabbit, o vírus que está aterrorizando o mundo». NetSupport. 25 de outubro de 2017. Consultado em 29 de agosto de 2021 
  17. a b «Ransom.Cerber». Malwarebytes Labs (em inglês). Consultado em 29 de agosto de 2021 
  18. a b «Ransomware Cerber: Tudo que você precisa saber». Ransomware Cerber: Tudo que você precisa saber. Consultado em 29 de agosto de 2021 
  19. «Ransomware Colonial Pipeline: lições para equipes de segurança cibernética». ManageEngine Blog (em inglês). 25 de agosto de 2021. Consultado em 29 de agosto de 2021 
  20. «Ransom.Crysis». Malwarebytes Labs (em inglês). Consultado em 29 de agosto de 2021 
  21. «O que é o ransomware Locky?». O que é o ransomware Locky?. Consultado em 29 de agosto de 2021 
  22. «Como remover Ransomware Jigsaw - passos para a remoção do vírus (atualizado)». www.pcrisk.pt. Consultado em 29 de agosto de 2021 
  23. «Ransomware Petya: Como funciona e como se proteger». www.avast.com. Consultado em 13 de setembro de 2021 
  24. «GoldenEye ransomware removal instructions - GoldenEye Ransomware [updated]». www.pcrisk.com. Consultado em 13 de setembro de 2021 
  25. «Os 9 tipos de ataque Ransomware mais conhecidos na internet». www.controle.net. Consultado em 13 de setembro de 2021 
  26. «How does the maze Ransomware work». www.galaxkey.com. Consultado em 13 de setembro de 2021 
  27. «Protect your PC from ransomware». support.microsoft.com. Consultado em 29 de agosto de 2021 
  28. a b c d «Facing Five Types of Ransomware and Cyber Extortion». Flashpoint (em inglês). 22 de junho de 2021. Consultado em 29 de agosto de 2021 
Outros projetos Wikimedia também contêm material sobre este tema:
Wikinotícias Notícias no Wikinotícias
Ícone de esboço Este artigo sobre Internet é um esboço. Você pode ajudar a Wikipédia expandindo-o.