Ransomware, o que você sabe sobre essa ameaça?

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/RANSOM-1030×517-1.jpg’ attachment=’6531′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ransomware, o que você sabe sobre essa ameaça?

Ransomware, ransom + malware. Ransom, do inglês, é resgate. Enquanto “malware” é um malicious software (ou software malicioso). Só de ler o nome da ameaça, já é possível imaginar do que ela é capaz.

E você sabe quantos ataques de ransomware ocorreram nos últimos anos? 269 mil em 2014, 362 mil em 2015 e 463 mil em 2016. Depois do incidente de sexta, não serial irreal considerar que 2017 vá terminar bem pior.

Importante frisar estatísticas da Symantec são apenas da variante de crypto-ransomware, sem contar outras categorias menos populares como o Scareware e Lock-screen.

A ameaça é uma espécie de malware que se instala no sistema da vítima e restringe seu acesso a dados e programas.

Trata-se de uma espécie de “sequestro” dos dados, em que o único objetivo é cobrar da vítima um resgate para que ela possa acessar novamente suas informações e ter suas informações restauradas. 

Como o ataque começa?

Esse tipo de ataque geralmente começa com um e-mail contendo um malware anexado ou um link para um site malicioso, ou ainda um pop-up ad que aparece na tela do usuário, dizendo que ele foi infectado e que, para encontrar a solução, precisa clicar no link fornecido. 

Depois de cair no golpe, o usuário logo descobre que seu sistema foi invadido por algum malware que pode criptografar todos os dados no seu HD, tornando-o inutilizável, ou criar um novo registro master boot para o drive.

Logo aparece uma mensagem dos hackers exigindo o pagamento de uma quantia em bitcoins para fornecer a chave para descriptografar o arquivo e restaurar os sistemas. 

Como essa do ransomware WannaCrypt0r do famoso episódio de sexta-feira, 12 de maio.

O valor do resgate pode variar de acordo com o tipo de malware, podendo ultrapassar US$ 1000 por máquina, dependendo de empresa atacada. Nesse caso, os cibercriminosos pediram “apenas” US$ 300 dólares.

Dependendo do tipo de malware que atacou a organização, o ransomware pode vir ainda com recursos para pressionar a vítima para que pague rapidamente o resgate – como aumentar o valor do pagamento depois de um certo período de tempo, apagar uma quantidade específica de arquivos de tempos em tempos até que o resgate seja pago, ou ainda exibir imagens pornográficas aleatórias na tela (causando grande constrangimento no ambiente de trabalho, por exemplo). 

Novamente, nesse caso do WannaCry, o valor do resgate era válido por três dias. A partir do quarto, subia para 600 dólares e, se não fosse pago em até sete dias, os dados seriam corrompidos pra sempre.

Quer entender tudo sobre ransomware? Então baixe nosso eBook e saiba todos os detalhes da ameaça!

O bitcoin, a criptomoeda virtual que fica armazenada em carteira digitais na nuvem ou no computador do usuário, é sempre usado para pedir o pagamento do resgate, pois impede que os dados sejam rastreados. Se quiser entender mais, leia nosso artigo sobre Blockchain, a rede que valida as transações de bitcoin.

Existe ainda a possibilidade de os cibercriminosos não cumprirem sua promessa e simplesmente não oferecerem as chaves de descriptografia necessárias para restaurar os sistemas.

Vale lembrar que os ransomwares geralmente incluem um spyware que pode permanecer na rede mesmo depois de restaurar os sistemas, gravando teclas digitadas, movimentos do mouse e outros dados. 

Você deve se preocupar com o ransomware? 

Como esse tipo de software malicioso pode ser adquirido facilmente e traz grandes retornos para os cibercriminosos, o ransomware deve se tornar cada vez mais comum e destrutivo.

As vítimas geralmente pagam o valor pedido para obter acesso a seus dados, pois acham que é melhor do que gastar tempo e dinheiro tentando restabelecer os sistemas.

Dados divulgados pelo FBI este ano revelam que, nos Estados Unidos, as empresas gastaram mais de US$ 325 milhões com resgates de ransomware apenas nos três primeiros meses do ano – a estatística leva em conta apenas as perdas reportadas pelas vítimas. O ano terminou com prejuízo na casa do um bilhão de dólares.

Um relatório divulgado em junho deste ano pela PhishMe sugere que, no fim do mês de março, 93% das mensagens de phishing nos Estados Unidos continham ransomwares. Assustador, não?

E pensar que o phishing é o principal vetor de ataque pelo qual o ransomware é infectado nas máquinas

No Brasil, dados da Kaspersky estimam que o país seja o mais afetado pelos ataques de ransomware na América Latina e alguns casos recentes mostram o poder de destruição dessa ameaça em empresas de diversos tamanhos. 

Enquanto a Trend Micro caminha nas mesmas conclusões.

No segundo semestre de 2016, a Trend Micro fez uma pesquisa sobre ataques de Ransomware e consultou mais de 500 empresas brasileiras e da América Latina. O resultado foi que 51% das empresas brasileiras tiveram algum tipo de incidente em 2015.

Casos recentes 

Há, claro,  o famoso e recente caso do Ransomware Wanna Cry  do episódio dessa sexta-feira, 12 de maio.

Uma série de ataques em escala global fazendo uso de uma versão atualizada do crypto-ransomware, WanaCrypt0r 2.0 impactou organizações públicas e privadas ao redor do mundo, passando de 150 países e 200 mil máquinas infectadas.

Empresas como BBVA, KPMG, Teléfonica Espanha, Petrobras, até mesmo o INSS e o Ministério Público de São Paulo foram atacados. Muitos de seus funcionários foram instruídos a desligarem suas máquinas.

Mas também há outros casos conhecidos no mercado sobre infecções do malware.

Por exemplo, em fevereiro, hackers criptografaram dados do Hollywood Presbyterian Medical Center, em Los Angeles, deixando computadores offline por mais de uma semana até que os cibercriminossos recebessem US$ 17 mil.

Em março, o Methodist Hospital, no Kentucky, nos Estados Unidos, sofreu um caso semelhante – na ocasião, a empresa usou um backup e não pagou nada aos cibercriminosos. 

Na primeira semana do mês de junho, um relatório divulgado no veículo australiano The Sydney Morning Herald, revelou que pelo menos 10 mil pessoas tinham sido vítimas de um e-mail scam de ransomware que tentavam se passar pela empresa de energia australiana AGL.

As mensagens falsas foram enviadas aos clientes da empresa como se fossem boletos, pedindo para que fizessem download de uma cópia da conta, um arquivo fechado com ZIP. A ameaça, ao se instalar no computador das vítimas, exigia um pagamento de cerca de US$ 640. 

Em julho deste ano, por exemplo, o grupo Anonymous sequestrou dados da Anatel –  Agência Nacional de Telecomunicações.

No caso, em vez de pedir o pagamento de um resgate, o malware pediu um posicionamento mais firme da empresa sobre o fim da franquia de dados na internet, assunto que esteve em alta na mídia durante o período e revoltou usuários brasileiros. 

Como funciona o ransomware 

O funcionamento do ransomware pode variar de acordo com a variante usada pelo criminoso e pela família do malware.

Os vetores primários de infecção também podem mudar. Continue acompanhando o post e conheça as principais variantes, famílias e vetores de infecção do ransomware.

Variantes de ransomware 

  • Criptográfico: trata-se da forma mais clássica do ransomware. Malwares desse tipo podem criptografar todo o HD da vítima, e demandam o pagamento para fornecer a chave para descriptografar os arquivos. 
  • Lock-screen: esse malware trava o funcionamento da máquina na tela que exige o pagamento da vítima. Em alguns casos, o cibercriminoso tenta se passar por um órgão governamental cobrando uma multa. 
  • Scareware: essa variante de ransomware indica erroneamente que o computador da vítima está com problemas e exige um pagamento para solucioná-los. O computador continuará funcionando, mas a vítima receberá uma série de alertas e não conseguirá acessar alguns programas. 

Vetores de ataque de ransomware 

  • Malvertising: Campanhas maliciosas iludem a vítima para que clique em anúncios que levam a páginas falsas. Baixe o plugin do AdBlock aqui.
  • Outros computadores infectados: Os ransomwares infectam facilmente outros arquivos dentro da rede. Separe sua rede!
  • “Cracks” piratas: Cracks ou keygens presentes em sites de torrent podem também infectar a máquina com ransomware. Diga não a pirataria. 

Principais famílias de ransomware 

  • Cerber: O ransomware Cerber é distribuído por meio de e-mails de spam. Depois de infectar arquivos, ele adiciona extensão “.cerber” e pede que o pagamento do resgate seja feito em até 7 dias. 
  • Cryptolocker: Usa técnicas de engenharia social para persuadir a vítima a fazer download do malware. Quando o usuário abre o arquivo malicioso, o ransomware gera uma série de chaves de criptografia.
  • Cryptowall: Quando se instala na máquina, a ameaça comprime um código binário com uma série de instruções que dão a ele a capacidade de burlar o antivírus e criptografar os arquivos. 
  • Jigsaw: O nome faz referência ao personagem da franquia Jogos Mortais. A ameaça deleta arquivos de hora em hora para pressionar a vítima a pagar o resgate o mais rápido possível. 
  • Locky: O ransomware, que se espalha por meio de campanhas de spam e sites comprometidos, adiciona a extensão “.locky” aos arquivos criptografados. 
  • Petya: Essa variante de ransomware, que se espalha por meio de um link do Dropbox, é capaz de criptografar um HD inteiro de uma só vez. Profissionais de RH são seu principal alvo. 
  • Wanna Cry: Os ataques WanaCrypt0r iniciam seu ciclo a uma organização através de um ataque de phishing via e-mail que inclui um link ou documento PDF maliciosos. O ataque de phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina local e consequente tentative de espalhar-se em larga escala na rede utilizando protocolo SMB, atacando a vulnerabilidade ‘EternalBlue’ (CVE-2017-0144) em sistemas operacionais Windows e que foi corrigida pela Microsoft em março de 2017 com o patch MS17-010. 

Proteja-se do ransomware 

Para evitar os ataques de ransomware, as empresas precisam investir cada vez mais em segurança, especialmente em ferramentas de prevenção, pois pouco pode ser feito depois que o ransomware já está na rede. 

Os softwares de próxima geração, como o next-generation antivirus (NGAV), são mais efetivos contra o ransomware do que as ferramentas tradicionais, que dependem de blacklists e detecções dinâmicas.

Além de soluções mais modernas de prevenção, processos eficazes de backup e restauração de dados podem salvar a empresa nesses momentos.

Com uma boa estratégia de backup, basta limpar o malware e restaurar os sistemas sem ter que pagar o resgate.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

10 COISAS QUE VOCÊ PRECISA SABER SOBRE RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/NGAV-CYLANCE-1030×709.png’ attachment=’6462′ attachment_size=’large’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ngav-cylance’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

NEXT GENERATION ANTIVÍRUS

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

QUER CONHECER UM POUCO MAIS SOBRE OS CONTEÚDOS DA PROOF?

ENTÃO CONFERE NOSSO BLOG

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’6′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]