O que é ransomware e como evitar o pior tipo de malware?

Se você lê – e deveria ler – conteúdos sobre segurança cibernética, é bastante provável que tenha notado o aumento dos ataques cibernéticos e em particular os casos envolvendo ransomware.

Empresas de segurança no mundo todo, têm alertado para as graves consequências que os ataques desse tipo tem provocado.

Você sabe o que é um ransomware? Como ele funciona? Ou como se prevenir? Se você quer saber tudo o que é preciso ser feito para sua empresa não engrossar as estatísticas relativas a essa gravíssima ameaça digital, então leia com atenção o que preparamos para você a seguir!

O que é ransomware?

Ransomware é uma classe de malware de efeitos bastante nocivos, que por diferentes métodos, impede o usuário de obter acesso aos dados armazenados em um dispositivo (servidor, notebook, smartphone, etc), como os arquivos pessoais e os de trabalho, o qual só é liberado mediante o pagamento de um resgate.

Por essa particularidade – a extorsão mediante pagamento de resgate – que esse tipo de malware foi assim chamado, já que a palavra ransom, é resgate em inglês.

Além de infectar o equipamento da vítima, o ransomware também costuma buscar outros dispositivos conectados, quando o dispositivo faz parte de uma rede de computadores. Assim, o invasor buscará obter acesso a outros sistemas e domínios, em um processo chamado movimento lateral dentro da rede, para maximizar os danos e bloqueando o maior volume possível de dados sensíveis.

Com isso, aumentam as chances da empresa que foi alvo do ataque, render-se à extorsão.

Com o avanço dos ataques cibernéticos, as empresas passaram a criar e adotar medidas de segurança mais rígidas e eficientes, fazendo com que nos últimos anos, os ataques de ransomware também evoluíssem.

Não é raro que atualmente uma infecção por ransomware, contenha extorsão dupla ou tripla, que faz com que mesmo aqueles que contam com políticas de backups de dados bastante eficientes, podem ser severamente impactados.

Isso porque, nos ataques de extorsão dupla, além do sequestro dos dados, há a ameaça de vazamento dos dados, geralmente vendendo-os na dark web. Já a extorsão tripla se dá, quando o criminoso digital também ameaça usar os dados o para atacar as pessoas e/ou empresas aos quais os dados estão relacionados.

Como funciona um ransomware?

O que as variações de ransomware mais populares até o momento fizeram, é impedir o acesso a arquivos pessoais e de trabalho do usuário, usando para isso duas alternativas – criptografia dos arquivos do dispositivo (ransomware crypto) ou bloqueio do sistema operacional (ransomware locker).

Na primeira, “apenas” os arquivos do usuário são criptografados, sendo que o malware busca e criptografa geralmente os arquivos com as seguintes extensões:

  • Arquivos do Microsoft Office – .xlsx, .docx e .pptx além de versões mais antigas;

  • Imagens – .jpeg, .png, .jpeg, .gif;

  • Arquivos de programas diversos – .dwg, .cdr, .psd, .pdf, ;

  • Arquivos de dados – .sql e .ai;

  • Vídeos – .wav, .avi, .m4a, .mp4.

Na segunda, também chamada de ransomware não criptografado ou ransomware de bloqueio de tela, impede-se o acesso ao dispositivo da vítima, geralmente bloqueando o acesso ao sistema operacional. Nesses casos, será exibido um popup na tela, explicando que o sistema foi bloqueado e incluindo instruções sobre como pagar para recuperar o acesso.

Dependendo da variante do ransomware locker, a mensagem pode estipular um prazo para o pagamento do resgate e que após isso, os dados serão perdidos.

É importante salientar que nenhum sistema operacional está livre desse tipo de ameaça. Já foram identificadas variações dessa classe de malware que são capazes de comprometer os principais sistemas operacionais usados e inclusive uma dessas ameaças é baseada em Java, o Tycoon, sendo capaz de atuar tanto em dispositivos com Windows, como em diferentes distribuições Linux.

No caso de dispositivos móveis, o ransomware costuma se utilizar de apps ou downloads automáticos e costuma ser do tipo locker, ou seja, não criptografa os arquivos, mas bloqueia o acesso ao smartphone.

Os cracker (hackers do mal) preferem bloqueadores de tela para ataques móveis porque os backups automatizados de dados na nuvem, permitem a recuperação de ataques de criptografia, porém o bloqueio ao sistema operacional, pode inutilizar o aparelho.

Seja qual for a técnica usada, o usuário se vê impedido de ter acesso ao conteúdo do dispositivo.

Na maior parte das vezes a infecção só é descoberta quando o malware atingiu seu objetivo e é quando uma tela exibe a mensagem informando que o acesso ao sistema foi bloqueado ou os arquivos foram criptografados.

Geralmente também há informações desincentivando o usuário a realizar qualquer procedimento para restabelecer o acesso, o que seria inútil. Para restituir o acesso à condição anterior, é necessário efetuar o pagamento do resgate e que costuma ser em bitcoin ou outra criptomoeda, para garantir o anonimato do autor.

Alguns até fornecem links ensinando como comprar a criptomoeda.

Adicionalmente podem haver informações do intervalo de tempo máximo para efetuar o pagamento, após o que todos os dados podem ser perdidos definitivamente.

Variantes de ransonware

Há particularidades nos ataques de ransomware, que fazem com que eles sejam classificados quanto a diferentes tipos:

  • Leakware ou doxware – é o tipo que além de criptografar os dados, rouba identificados como dados confidenciais e/ou essenciais e faz ameaça de vazamento;

  • Mobile ransomware – é destinado exclusivamente aos sistemas Android e iOS e costuma apenas bloquear ao acesso ao dispositivo;

  • Wipers – é um tipo de ransomware destrutivo e a extorsão se dá por ameaça de destruição permanente dos dados, os quais podem ser destruído mesmo que o resgate seja pago, que é quando o autor é um hacktivista, por exemplo;

  • Scareware – vem de scare (assustar em inglês) porque tenta assustar a vítima, exibindo mensagens diversas, como por exemplo, uma falsa alegação de crime e pagamento de multa, ou um alerta de infecção por vírus, informando da necessidade de instalação de uma vacina, mas que na verdade é um ransomware que bloqueia dados ou dispositivo.

Como ocorre a “infecção” por ransomware?

Os ataques de ransomware costumam ocorrer por vulnerabilidades ou bugs conhecidos que são explorados ou por falhas dos usuários na prevenção e identificação das ameaças do mundo digital.

Entre os mais populares e devastadores ransomwares, um ficou famoso por ter em apenas um dia ter infectado mais de 200 mil usuários em 150 diferentes países – o WannaCry e explorava uma falha do Windows. Empresas, universidades, agências governamentais e usuários de diferentes perfis foram afetados.

WannaCry significa “quero chorar” em português.

De fato muitos usuários devem ter tido essa vontade ao descobrirem que arquivos importantes, em alguns casos de valor inestimável e único ou ainda conteúdo de uma vida inteira de trabalho estavam inacessíveis.

Há muitas formas e novos malwares podem usar diferentes artifícios para se instalarem em um dispositivo, inclusive por ação humana. Nesses casos, o ataque geralmente começa por meio de credenciais de conta roubadas.

Depois que o cracker obtêm acesso à rede empresarial, ele tenta movimentos laterais em busca de vulnerabilidades e as credenciais de contas com escopos de acesso mais amplos, bem como dados e sistemas essenciais para a organização e, portanto, com elevado potencial para extorsão.

Já os ataques originados de falhas dos usuários, costumam envolver os que foram disseminados por meio de phishing, e-mail spoofing e SPAM – na verdade malspam, que é um e-mail não solicitado usado para entregar malware – contendo anexos ou links maliciosos.

Eventualmente, a instalação de software pirata e acesso a sites maliciosos ou invadidos, também pode ser uma porta para infecção por ransomware.

Em boa parte das vezes, são usadas técnicas de engenharia social, ao se passar por alguma empresa ou instituição conhecida, ou mesmo um amigo ou parente e assim visando enganar o usuário por meio da conquista da sua confiança.

Também pode fazer uso de malvertising (malware advertising), que é a publicidade maliciosa e também destinada a iludir o usuário, que muitas vezes clica em determinados conteúdos esperando um resultado e na verdade, acaba por ter seu dispositivo infectado.

Vale alertar que há casos em que nem mesmo uma ação específica é necessária e o simples acesso a determinados sites, pode ser suficiente para comprometer o dispositivo.

É importante ter em mente que os padrões de um determinado ransomware não estão presentes necessariamente em todos e assim, o que vale para se resguardar de um, não o protege de outro.

Ransomware é vírus?

Não, essa classe de malware não é classificada como vírus.

Entre outras coisas, vírus de computador, tal como os vírus biológicos, reproduzem-se. Os ransomwares não.

Além disso, em muitas infecções ele está associado a um trojan (cavalo de tróia), o qual se oculta no sistema operacional e entre outras coisas, realiza a “instalação” do ransomware.

No caso do já citado WannaCry, ele foi considerado um worn, que é outra classe malware. Ele usava redes de computadores para se disseminar e explorava uma vulnerabilidade do Windows, que posteriormente ao ataque, foi corrigida e incluída em uma atualização.

Como identificar uma infecção por ransomware?

Quando um sistema é infectado por um ransomware crypto, é normal que alguns sinais permitam identificar sua ação:

  • Aumento no uso de CPU – o aumento no uso da CPU pode ser notado por lentidão e funcionamento contínuo do cooler do processador, mas também por softwares que monitoram o uso de recursos do sistema, como é o caso do gerenciador de tarefas do Windows e que pode ser acessado pressionando a combinação de teclas CTRL + SHIFT + ESC. A criptografia faz uso intensivo de processamento;

  • Elevado uso do disco – o processo de criptografia dos dados requer a leitura e gravação dos arquivos que estão sendo encriptados. Tal como no caso da CPU, o uso intenso do HD pode ser identificado no gerenciador de tarefas e também provoca lentidão no sistema;

  • Extensões de arquivos – o conteúdo que é criptografado tem extensões alteradas. Não há um padrão e já se observou tanto, extensões .crypt, como também ganham extensões como .grinch, .redrum e .thanos, que é o caso do ransomware Tycoon. Todavia quando se encontra conteúdo dessa forma, todo o conteúdo afetado já está inacessível e o malware já está em ação;

  • Antivírus – atualize o software antivírus que tem instalado e proceda com uma varredura completa. Vale ressaltar que um novíssimo malware – e não apenas um ransomware – pode ainda não ser identificado, o que não significa que seu equipamento está livre de ameaças de qualquer tipo.

No entanto, é importante ressaltar que ainda que se note e se consiga fazer algo, como por exemplo, desligar o dispositivo para interromper o processo de criptografia, possivelmente vários arquivos podem já ter sido bloqueados.

Como remover ransomware?

Essa é das perguntas mais difíceis de se responder, porque não há uma solução única e muitas vezes, não há solução!

Se nenhuma medida para resolver o problema for possível, ou seja, restituir o acesso ao conteúdo, bem como o conteúdo for imprescindível, a descriptografia e, portanto, o acesso ao conteúdo bloqueado, só é viável por intermédio do mesmo malware que criptografou os arquivos e mediante o pagamento do resgate.

Quase todas as empresas de antivírus e agências de segurança, desaconselham o pagamento, pois isso estimula que a prática continue, bem como a depender do autor, o resgate não garante que o fornecimento da chave privada para reverter a criptografia, seja fornecida.

Como não há um padrão único e comum a todos os ransomwares e aqueles que estão por vir, uma vez que se identifique uma infecção, o mais indicado é seguir as orientações da empresa responsável pelo seu antivírus.

Medidas de prevenção contra ataques de ransomware

A prevenção é a melhor medida a ser adotada.

Como se viu até aqui, nos casos de infecção, algumas vezes pode ser tarde demais e as consequências podem ser severas e irreversíveis.

Evitar não só ransomwares, mas quaisquer tipos de malwares, é sempre o mais indicado, pois a tecnologia utilizada no desenvolvimento e as inovações que podem ocorrer em novas versões dessas pragas digitais, podem produzir problemas para os quais ainda não se tem soluções eficientes.

Além do mais, o crescimento desse tipo de ameaça tem sido grande, por conta da popularização do RaaS, que é a sigla para Ransomware as a Service (Ransomware como Serviço, em português) e que nada mais é do que o compartilhamento do código de malware com cibercriminosos, chamados de afiliados.

O "afiliado", geralmente um cibercriminoso com pouca capacidade técnica, usa o know-how e o código para realizar um ataque e divide o pagamento do resgate com o desenvolvedor.

Assim, para evitar ser vítima e aumentar as estatísticas a respeito, atente as medidas que comentaremos a seguir. Quanto mais for possível adotar, mais seguros os dados da sua empresa estarão.

Mantenha backups atualizados

Não só por conta de ransomware ou outras classes de malware, a importância do backup nas empresas, deve ser máxima. Se o pior acontecer, somente um backup pode restituir o seu conteúdo sem que se pague o resgate.

Backups atualizados, são a garantia de se ter restaurada a situação até a data do último backup. Assim, se você faz backups semanais, o máximo que se perde é uma semana de conteúdo. Se é diário, o máximo é relativo a um dia.

Mas backups não são úteis apenas nesses casos. Falhas de hardware, erros de sistema e até erros humanos, podem ter suas consequências amenizadas se houver uma rotina eficiente e regular de backup.

É fundamental também que se armazene em locais seguros os dados salvos. Recomenda-se ter duas cópias dos mesmos dados, como por exemplo, armazenamento em nuvem e em mídias físicas removíveis.

Proceda com atualizações do sistema operacional

O WannaCry, bem como muitos malwares, explorava uma vulnerabilidade do Windows. Assim que a Microsoft identificou a falha, produziu e divulgou uma atualização. Sistemas que têm instalado esse update, estão seguros contra esse ransomware em particular.

Assim manter o sistema operacional atualizado, especialmente com as atualizações de segurança e o patch tuesday, diminuem as chances de ser afetado por malwares que usam exploits.

Mantenha-se informado

Você não precisa se tornar um especialista em segurança digital, mas é altamente aconselhável acompanhar as principais informações que são divulgadas a respeito em muitos sites, bem como conhecer práticas e princípios básicos.

A leitura de conteúdos como o presente, ou dicas de segurança no mundo digital, ou ainda a adoção de ferramentas e serviços como filtros de DNS, ajudam a se manter distante do que pode comprometer sua segurança.

Mais do que isso, compartilhe esse tipo de conteúdo nas suas redes sociais, envie para os colaboradores na sua empresa, especialmente aqueles que lidam com informações e dados sensíveis.

Treinamento dos usuários

Conforme mencionamos, o usuário é um elemento da cadeia de segurança, que é frequentemente explorado.

Costuma-se dizer que a força de uma corrente é determinada pelo seu elo mais fraco e que muitas vezes é o usuário, porque não é raro que ele seja negligenciado nas políticas de segurança das empresas.

Sabendo disso, os criminosos digitais têm cada vez mais explorado ataques nos quais o usuário constitui elemento-chave para seu sucesso, usando técnicas de engenharia social e o seu pouco conhecimento sobre boas práticas.

Tem-se observado que o erro humano tem sido uma das principais causas do ambiente de TI das empresas ser afetado por alguma das muitas ameaças digitais.

Pouco adianta uma série de barreiras internas, se por exemplo, um funcionário conecta o notebook da empresa a um Wi-Fi público e depois o se conecta na rede da empresa.

Ou talvez ao clicar em um link malicioso recebido por e-mail, ao abrir uma mensagem de e-mail spoofing, ou simplesmente por usar uma senha tão fraca como zxcasdqwe123, que pode parecer forte em uma primeira análise, mas é apenas uma sequência de teclas do teclado.

Assim, conscientizar os usuários sobre sua importância, treiná-los e ensiná-los a reconhecer ameaças em potencial, é uma medida fundamental na prevenção.

Tire proveito da tecnologia

Os avanços e as novas tecnologias oferecem vantagens diversas, incluindo a questão da segurança da informação.

Os melhores serviços de cloud computing, também já contemplam proteção em camadas e garantem que a recuperação seja imediata e abrangente. Portanto, hospedar quando possível os dados sensíveis nesse tipo de solução, é altamente recomendável.

Além disso, há muitas outras medidas para garantir tanto sistemas mais seguros contra ataques, como modelos de segurança Zero Trust (Confiança Zero) e autenticação multifator (MFA), bem como o anonimato e sigilo dos dados sensíveis dos seus clientes, adotando Provas de Conhecimento Zero ou ZKP.

Por fim, também é possível se antecipar e identificar possíveis ameaças, usando ferramentas baseadas em inteligência artificial para reconhecer padrões e encontrar falhas no ambiente, realizando pentests.

Use bons antivírus

Os melhores softwares antivírus são rápidos em identificar novas pragas virtuais e produzir “vacinas” para impedir a infecção dos sistemas em que estão instalados.

Atualmente, mais do que simples antivírus, as melhores soluções consistem de um pacote de ferramentas, com firewall, proteção de e-mails e de navegadores web.

Por isso, a escolha da solução de segurança é importante.

Mais do que isso, ajuste as configurações para atualizações automáticas.

Diga não à pirataria

O pirata digital não é um idealista que luta contra a indústria milionária do software. Ele não está quebrando a proteção de softwares por ideal ou princípio, nem é um altruísta digital, mas em busca de vantagens próprias.

Não é raro que conteúdo pirata tenha associado algum tipo de malware.

É por meio do malware que ele terá o lucro ou ganho por lhe entregar um software pirata.

Afaste-se de conteúdo malicioso e fique atento ao que recebe no e-mail

Muitos sites falsos, fraudulentos ou maliciosos são criados e mantidos apenas com o objetivo de disseminar malwares.

Os melhores navegadores, já oferecem recursos para apontar alguns deles.

Somado a isso, filtros de DNS e os melhores antivírus, ou impedem ou emitem alertas quando se tenta acessar um site suspeito.

Tenha também em mente que amigos, parentes e conhecidos também estão sujeitos a serem vítimas de cibercriminosos. Não é porque você recebeu um e-mail de um remetente conhecido, que necessariamente ele está livre de qualquer malware.

Bons serviços de e-mail, bem como os bons antivírus, também fazem rastreamento dos anexos de e-mail.

Na dúvida, antes mesmo de abrir qualquer mensagem de e-mail, faça contato com o remetente. O campo assunto de muitas mensagens e a visualização do cabeçalho da mensagem, pode dar pistas de conteúdos suspeitos.

Política de segurança em TI

Criar e atualizar uma política de segurança em TI, é essencial, mesmo nas pequenas empresas.

Tudo o que vimos até aqui, deve constar da política, a qual deve ser revisada constantemente, bem como deve haver alguém responsável por verificar seu cumprimento.

Por fim, mas não menos importante, ao implantar e dar ciência da política da empresa, tem-se os seguintes benefícios:

  • Conscientiza e dissemina o conjunto de informações necessárias para aumentar a segurança no acesso aos dados da empresa;

  • Assegura boas práticas diante das mais diversas situações no ambiente digital (acesso aos sistemas online, aos serviços de e-mail, redes sociais, etc);

  • Conformidade com a legislação existente e vigente, em âmbito nacional e internacional, como a LGPD e GDPR, respectivamente;

  • Prevenção contra ameaças internas ou externas, intencionais ou acidentais;

  • Estipular os procedimentos operacionais padrão para as situações mais importantes e comuns no uso e acesso aos dados, de modo a assegurar padronização e minimizar a possibilidade da ocorrência de erros, maior eficiência e menor suscetibilidade às ameaças;

  • Orientar no uso correto das ferramentas de segurança;

  • O que é permitido e o que não é (regras), quando um usuário tem acesso à informações da empresa nos meios digitais.

Conclusão

Ransomwares são uma classe de malware altamente nociva e que podem produzir perdas severas, razão pela qual é importante saber o que fazer diante deles.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
MFA
O que é MFA? Como funciona e por que é importante?
WordPress
Os melhores plugins gratuitos para um blog WordPress

Comentários ({{totalComentarios}})