Saiba mais sobre o software malicioso que criptografa dados e os deixa inacessíveis até o pagamento de um resgate não rastreável

Texto escrito em colaboração por:
Adriana de Moraes | Arthur Barbosa | Nilton Botelho

Uma pesquisa anual realizada pela desenvolvedora e fornecedora de software e de hardware de segurança, Sophos, trouxe à tona novos insights sobre ataques Ransomware com base na experiência das organizações de médio porte ao redor do mundo.

O relatório State of Ransomware 2021 explora não só os ataques, mas também como ele impacta suas vítimas ano a ano, com destaque para uma série de mudanças na frequência e no impacto do ransomware.

A pesquisa foi realizada de forma independente com 5.400 gerentes de TI em organizações de médio porte em 30 países em todo o mundo.

O relatório revelou que embora o número de organizações atingidas por ransomware tenha diminuído nos últimos 12 meses – 37% em 2021 contra 51% em 2020, o impacto financeiro de um ataque mais que dobrou, passando de US $ 761.106 em 2020 para US $ 1,85 milhão em 2021.

Este fato foi atribuído a uma provável evolução dos ataques, com a adoção de estratégias mais direcionadas, mais avançados e complexas.

Com a divulgação de cada vez mais ataques nas empresas brasileiras, cresceu o interesse em saber não só sobre o que é o Ransomware, mas também se há como se prevenir do ataque. Nesse texto, você vai conferir dicas sobre quais as medidas de segurança da informação implementar para evitar riscos e como proceder em caso de ataque.

Você vai conferir:

O que é um ransomware?

Resumidamente, um ransomware é um software malicioso (malware) que infecta seu computador, criptografa os dados e exibe mensagens exigindo o pagamento de uma taxa para descriptografar e fazer o sistema voltar a funcionar.

Os tipos mais comuns de ransomware são “Cryptolocker”, que criptografa os seus arquivos, e “CTB Locker”, que impede a realização do login ao criptografar até o sistema operacional,.​

Esse tipo de ataque é considerado uma ameaça altamente sofisticada, que pode afetar pessoas no mundo inteiro.

Exemplo de tela de ataque ransomware
Exemplo de tela de ataque ransomware

Um breve histórico

O primeiro ransomware foi criado em 1989 por Joseph L. Popp, um biólogo evolucionário com PhD em Harvard. O Trojan AIDS, como ficou conhecido, enganava os usuários informando-lhes que a licença de um determinado software havia expirado.

24 anos depois, em setembro de 2013, conhecemos o CryptoLocker, que ficou famoso ao atingir todas as versões do Windows. Ele conseguiu infectar centenas de milhares de computadores pessoais e sistemas corporativos utilizando e-mails que pareciam ser de serviços de atendimento ao cliente de empresas respeitadas.

O golpe consistia em um “sequestro” dos dados pessoais/ corporativos utilizando criptografia que exigia o pagamento médio de US$ 300 em até 2 horas em troca da chave para descriptografar (ou liberar) os dados.

Um pouco mais tarde, em 2017, surgiu o que pode ser considerado o mais famoso dos ransomwares, o WannaCry. O seu “sucesso” se deu devido a uma vulnerabilidade do Windows, descrita e corrigida no Boletim de Segurança da Microsoft. O malware acabou atingindo quem ainda não tinha realizado o update do sistema.

Semelhante ao ataque anterior, o WannaCry sequestrava os dados da vítima e pedia um resgate de US$ 300 em bitcoins (moeda digital), que deveria ser pago em até três dias. O valor dobrava para US$ 600 em bitcoins caso não fosse pago dentro do prazo. E, se o pagamento não fosse realizado em sete dias, os hackers prometiam apagar os arquivos para sempre.

Logo depois, em 2018, estima-se que ocorreu um destrutivo ataque de ransomware conhecido como GandCrab. Computa-se que o vírus tenha infectado aproximadamente 1,5 mi de computadores e que seus criadores tenham levado uma “bolada” de US$ 2 bilhões (R$ 10 bilhões em conversão direta) com o software.

De acordo com informações da empresa de segurança BitDefender, “a operação do GandCrab foi produtiva o bastante para garantir lucro suficiente para permitir que seus criadores se aposentassem”. (Fonte: Olhar Digital)

Claro que esses são apenas alguns dos malwares conhecidos.

O fato é que, atualmente, os ataques estão cada vez mais sofisticados e frequentes, por isso é necessário que a equipe de segurança da informação esteja sempre atenta.

Como acontece o ataque?

A sua propagação se dá, principalmente, através de e-mails maliciosos ou outras vulnerabilidades de segurança, como software com os patches de segurança não atualizados.

Os ataques geralmente acontecem por meio da técnica de phishing (pescaria), principalmente com a utilização de Engenharia Social para que sejam mais efetivos.

O ataque geralmente funciona da seguinte forma:

  1. Penetração na rede: a vítima recebe um e-mail infectado que parece verdadeiro;
  2. O usuário faz o download do arquivo anexado ou clica em algum link mal intencionado para baixar um arquivo;
  3. Ao executar esse arquivo, você disponibiliza o seu login e senha para o atacante. É aí que o ransomware começa a criptografar todos os arquivos da máquina em um processo irreversível.
  4. Como a própria palavra já diz (“ransom” significa resgate), para que os dados sejam descriptografados ou “liberados”, é necessário o pagamento de um valor de “resgate” em Bitcoin, uma forma de pagamento anônima e não rastreável.

Quais medidas adotar para evitar ricos?

Geralmente, o ransomware vai precisar de uma ação sua para poder agir.

Então, previna-se com algumas ações básicas:

Medidas de segurança da informação para o usuário

📌Observe se o remetente do e-mail é um endereço confiável;
📌Não acesse links suspeitos;
📌Tenha muito cuidado nos e-mails marcados como spam;
📌Só faça download dos documentos se reconhecer o remetente;
📌No caso de documentos na internet, verifique se o site em que está baixando é seguro e confiável;
📌Mantenha sempre o antivírus atualizado em sua máquina.

Medidas de segurança da informação para a empresa

📌Tenha um antivírus corporativo e mantenha-o atualizado;
📌Utilize um firewall;
📌Adote o IDS (software que automatiza o procedimento de detecção de intruso) e o IPS (software que previne e impede os ciberataques);
📌Mantenha sempre um backup atualizado e auditado;
📌Utilize softwares originais e realize constantemente as atualizações de patches;
📌Realize monitoramento 24×7 dos Ativos de TI;
📌Invista em autenticação duplo fator;
📌Cuidado nos descartes de mídia;
📌Adote uma política de controle de acesso;
📌Crie e dissemine uma política de Segurança da Informação.

Confira mais dicas de segurança dadas por um dos nossos especialistas.

Como proceder em caso de ataque consumado?

Diversos especialistas de segurança, recomendam que você não pague pelo resgate dos arquivos, pois não há garantias que ele possa ser recuperado e você poderá cair em mais um golpe.

Na verdade, dados da pesquisa da Sophos estimam que a probabilidade de recuperar todos os seus dados após o pagamento é muito pequena: menos de um em 10 (8%) recuperou todos os arquivos criptografados. Em média, as organizações que pagaram o resgate receberam de volta apenas 65% de seus dados, com 29% recebendo não mais da metade deles.

O ideal é formatar a máquina e iniciar uma instalação limpa do sistema operacional, devido a grande variedade desse vírus é difícil encontrar uma ferramenta que possa recuperar os arquivos.

Mas ainda há outras medidas técnicas importantes que devem ser tomadas:

  • Verifique se há alguma conta nova cadastrada;
  • Realize uma análise de logs;
  • Verifique as conexões de rede;
  • Verifique o roteamento da rede para identificar rotas diferentes do padrão.
  • Utilize um SIEM – Gestão de eventos e Informação de Segurança, softwares que detectam e alertam sobre alterações na rede;
  • Mantenha sempre uma cópia de segurança dos seus arquivos guardada para casos como esse.

Aprenda Mais

Assista nosso webinar sobre prevenção de ataques Ransomware e entenda melhor sobre as medidas de prevenção e a importância de um backup nesse contexto de ataque:

Receba nosso conteúdo e participe dos nossos eventos gratuitos: