©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
gestão de segurança da informação

Entenda tudo sobre o Ransomware: o malware sequestrador

Vinicius Durbano

11 min read
Entenda tudo sobre o Ransomware: o malware sequestrador

Ao longo dos últimos meses muitos clientes vêm passando pela mesma situação: seus computadores são bloqueados e eles não conseguem mais realizar o acesso a arquivos e aplicativos importantes.

Essa nova ameaça, o malware sequestrador, tem aterrorizado as empresas. No post de hoje você vai entender o que é ransomware e descobrir como se proteger de ameaças do tipo. Vamos lá?

1. Afinal, o que é o Ransomware?

O ransomware se tornou uma das formas mais prevalentes, eficazes e bem-sucedidas de crime virtual. Um relatório recente feito pelo Departamento de Justiça (DOJ) americano descobriu que foram realizados, pelo menos, 4.000 ataques de ransomware por dia no ano de 2016.

O FBI informa, em seus levantamentos mais recentes, que mais de um bilhão de dólares foram pagos pelas empresas a fim de reaver controle dos seus dados. O malware sequestrador se propaga por meio dos mesmos canais que o malware tradicional.

E-mail, sites comprometidos e softwares piratas são as principais fontes de preocupação. Esse tipo de ataque costuma ser simples, o que não significa que a sua eficiência não seja devastadora. É que ao contrário dos malwares tradicionais o ransomware não precisa permanecer indetectado por muito tempo para alcançar seus objetivos.

As gangues de cibercriminosos responsáveis por esse tipo de ataque geralmente direcionam seus esforços para várias companhias ao mesmo tempo e costumam estabelecer um preço que torne mais barato para as vítimas pagar o resgate que restaurar ou recriar os sistemas comprometidos.

Beneficiando-se de um senso de urgência, são frequentes as ocasiões em que esses hackers obtêm sucesso em sua empreitada. Afinal, o que é ransomware? Grosso modo, é um tipo de código malicioso que infecta seu computador e criptografa todos os seus arquivos até que você pague uma taxa de resgate para agentes mal intencionados.

Embora — como você verá no tópico a seguir — nem sempre a criptografia esteja presente, os ransomwares são capazes de bloquear o seu acesso e, em alguns casos, de assumir controle completo da sua máquina com a intenção de pressioná-lo a fazer um pagamento.

O objetivo dos vários tipos de ransomware existentes é tornar seu computador um enfeite de mesa. Para conseguir a compensação financeira sem quebrar seu anonimato, hackers utilizam moedas criptografadas — como o BitCoin e o MoneyPak — para extorquir suas vítimas.

2. Quais são os três tipos existentes de Ransomware?

Se você está ouvindo falar neles pela primeira vez, agora deve estar se perguntando: “quer dizer então que há mais de um tipo de ransomware”? A resposta é sim. Esses ataques podem ou não ser criptografados e, por isso, são enquadrados em categorias diferentes.

Conheça cada uma delas e entenda suas particularidades a seguir.

2.1 Ransomwares não criptografados ou scareware

Os ransomwares não criptografados são geralmente conhecidos como “scareware” — em tradução livre, “malware feito para assustar”. O scareware exibe uma mensagem que ocupa toda a sua tela afirmando que o controle de seu computador foi assumido por terceiros e que para reganhar acesso é preciso pagar um resgate.

Geralmente disfarçados de acusações de pirataria, os scarewares não chegam a criptografar seus arquivos e geralmente podem ser removidos com uma boa varredura.

2.2 Ransomwares criptografados

As infecções maliciosas criptografadas sequestram seus dados e aplicativos. Em vez de tentar te assustar com mensagens sobre possíveis atividades ilegais, elas tomam controle da informação que está em seu computador.

Depois de uma infecção do tipo, talvez um documento ou planilha que você acessou há poucos minutos não funcione adequadamente ou tenha agora conteúdo diferente do que costumava estar ali.

A partir daí você será conduzido a uma mensagem de erro indicando que tem certo tempo para pagar um resgate sob pena da chave de criptografia usada em seus arquivos ser destruída para sempre.

Caso isso aconteça, seu computador ficaria virtualmente inutilizável. Ataques do tipo ransomware são extremamente eficazes porque se aproveitam, acima de tudo, do terror psicológico que são capazes de infligir em suas vítimas.

2.3 Ransomwares em servidores

Em um terceiro cenário, os ransomwares podem atacar servidores e não apenas máquinas locais. Se você tiver mapeado unidades de rede que se conectam ao seu servidor corporativo, essas injeções de software mal intencionado — depois de tomar conta de uma máquina específica — podem começar a criptografar os arquivos que estão nessas unidades.

A partir daí, toda a sua empresa está em risco. Um pouco mais complexos que os ransomwares que atingem apenas máquinas locais, os ransomwares capazes de se propagar pelos seus servidores são virtualmente impossíveis de serem removidos.

3. Como um Ransomware se propaga?

Agora que você já sabe o que é ransomware e quais são os principais tipos de ataque existentes, é hora de descobrir como ele chega até a sua máquina. Existem inúmeras maneiras de contrair o malware sequestrador, mas o método mais comum para infecção por ransomware é o Cavalo de Troia (Trojan Horse).

3.1 Com a ajuda de um cavalo de Troia

O Cavalo de Troia foi um enorme cavalo de madeira que os gregos utilizaram para presentear os troianos. Como estratagema de guerra, ele continha, em seu interior, uma porção de soldados inimigos, que sorrateiramente facilitaram a entrada do exército grego em terras estrangeiras.

Na computação, por sua vez, as coisas não são tão diferentes assim. O Cavalo de Troia virtual é um programa mascarado como ferramenta útil, mas cheio de motivos sinistros escondidos em seu interior. Uma vez baixado e instalado, ele silenciosamente infecta sua máquina com malwares sem que você saiba disso.

3.2 Em anexos de e-mail e sites suspeitos

Tradicionalmente, o ransomware também viaja por e-mail, disfarçado em anexos que parecem ser documentos de texto ou PDFs. Em outros casos, eles também podem ser adquiridos em ataques à paisana, como na visita a um site infectado.

Em ambas as situações, porém, abrir o documento ou carregar a página web em questão vai ativar automaticamente o malware em seu computador.

3.3 Algumas dicas para evitar o ransomware

Se sua propagação é tão insuspeita, como sua empresa pode se proteger dele? Existem algumas medidas que ajudam a evitá-lo. Confira algumas indicações do que fazer para passar longe dos vários tipos de ransomware:

  • não abra e-mails ou arquivos de remetentes que você desconhece;
  • não clique em links suspeitos e, se possível, copie as URLs em seus e-mails para a barra de navegação;
  • se tiver dúvidas, confirme com o remetente de que aquele um link é legítimo antes de clicar nele;
  • não vá a sites que desconhece e seja cauteloso com aqueles em que submete seus logins e senhas. Verifique URLs com frequência para não cair em esquemas de phishing;
  • mantenha seu antivírus, seu sistema operacional e seus aplicativos tão atualizados quanto possível;
  • certifique-se de que você tem bons backups de todo o seu trabalho;
  • examine as permissões de usuário em pastas compartilhadas em seus servidores para reduzir sua vulnerabilidade;
  • incentive que os usuários de sua rede não armazenem nada localmente, optando sempre pela nuvem;
  • ofereça treinamento para os seus funcionários a respeito da segurança de dados.

4. Como eles agem no meu sistema?

Cada ransomware é diferente e, portanto, projetado para operar de maneira distinta. Mesmo assim, existem alguns traços típicos e comuns a todas as infecções por esse tipo de malware. Uma ofuscação complexa para mantê-lo indetectado e mecanismos que funcionam para escondê-lo dos antivírus, por exemplo, são normais.

O ransomware quer ficar escondido nos estágios iniciais da infecção, pelo menos, para que tenha tempo de tomar controle dos seus arquivos. Para que isso aconteça, ele usa de subterfúgios que impeçam sua detecção e análise.

Nomes de arquivos obscuros, atributos modificados ou softwares que funcionam sob a pretensão de ser um serviço legítimo são algumas das estratégias empregadas pelos hackers. Além disso, em geral, as camadas de defesa desse tipo de malware deixam seus dados ilegíveis, o que torna o processo de engenharia reversa extremamente complexo.

Se no passado os protocolos de comunicação do ransomware eram textos simples, hoje eles foram atualizados para o HTTPS, o que fez com que suas chamadas criptografadas se tornassem mais difíceis de acompanhar com monitoramento de rede. Podemos, todavia, entender melhor como esse malware funciona se olharmos para o exemplo do Cryptolocker.

4.1 Como funciona o Cryptolocker?

O Cryptolocker é instalado por uma variante do trojan Zbot. Depois de sua execução, ele tenta se comunicar com um servidor de comando e controle. Quando bem-sucedido, ele envia uma chave pública e um endereço Bitcoin para suas vítimas.

Usando criptografia assimétrica, com uma chave pública para criptografar e uma chave privada para descriptografar arquivos, o Cryptolocker pode atingir cerca de 70 formatos diferentes em seu HD. Depois de completar o sequestro dos dados, várias mensagens e instruções são exibidas na tela inicial do usuário.

Nessa mensagem, os usuários infectados são instruídos a pagar uma taxa para ter acesso à chave privada que foi armazenada em seus servidores. Sem essa chave, a descriptografia é impossível e seus arquivos estarão inacessíveis para sempre.

Quando o resgate é pago, a descriptografia é iniciada automaticamente e uma tela de verificação de pagamento é exibida. Terminado o processo, os arquivos do Cryptolocker são excluídos.

Entretanto, confiar na palavra de hackers que vivem de sequestrar seus dados pode não ser uma boa ideia. Pagando o resgate você não garante a recuperação de seus arquivos.

5. Quais danos podem ser gerados?

Naturalmente, ninguém pensa que seu data center ou as máquinas de sua organização serão as próximas vítimas de um ataque ransomware. No entanto, com os hackers inventando constantemente novas maneiras de obter acesso a informações sensíveis e arquivos críticos, as empresas precisam preparar-se para o pior.

O número total de amostras do malware sequestrador aumentou em mais de 140% desde o ano de 2014 — e a tendência não é positiva. O Gartner também observa, em seu relatório mais recente, que as técnicas de prevenção, como antivírus, não podem ser usadas para detectar todos os tipos de ransomware.

Com isso em mente, é preciso entender os danos que a ameaça pode causar à sua organização. Conheça as principais consequências de sofrer um ataque dessa magnitude.

5.1 Perda temporária ou permanente de informações confidenciais ou proprietárias

A perda de dados pode ter um grande impacto em seu negócio. Menos da metade das vítimas de ransomware são capazes de recuperar completamente seus dados após um ataque — acredite, você não quer que isso aconteça com a sua empresa.

5.2 Interrupção das operações regulares

Do mesmo modo, a perda de certos dados pode impactar sua produtividade e fazer com que suas operações fiquem paralisadas. Caso você e seus funcionários não consigam acessar informações críticas para a rotina dos negócios, vocês podem perder prazos e deixar de realizar algumas vendas.

5.3 Perdas financeiras ao longo do restauro de sistemas e arquivos

Um ataque ransomware cria duas escolhas difíceis para um negócio: pagar o resgate ou passar vários dias recuperando arquivos bloqueados. Você já sabe que pagar o resgate não é uma boa ideia, mas o que não sabe é quanto pode custar o tempo de inatividade provocado por uma infecção do tipo.

Para evitar o tempo de inatividade prolongado e seus custos associados, você pode investir numa boa solução de backup e recuperação de desastres. Dessa forma, sua empresa tem os recursos necessários para reverter instantaneamente qualquer dano advindo de ransomware.

5.4 Danos à própria reputação

Algumas coisas podem automaticamente danificar a reputação de uma empresa. Ataques virtuais são uma delas. Mesmo que sejam impossíveis de prever, eles podem fazer tanto dano pela reputação do seu negócio quanto remover forçadamente um passageiro de um voo, por exemplo.

Nesse sentido, pagar pelo resgate de seus dados transmite a mensagem errada para seus clientes. Esse erro pode custar à imagem do seu negócio muito mais do que um hacker exigiu pelos seus dados.

6. Como proteger a minha empresa do Ransomware?

Agora que você já sabe o que é ransomware e conhece como os principais tipos de ataque dessa natureza funcionam, é hora de entender o que sua empresa pode fazer para proteger-se. Se por um lado o ransomware pode parecer assustador, se você estiver preparado adequadamente ele não será mais do que um incômodo.

Aqui estão algumas dicas que evitarão que esses ataques de malware destruam o seu dia. Confira:

6.1. Fazendo Backup em Nuvem

A melhor forma de derrotar o ransomware é ter um backup atualizado regularmente. Se você for atacado a qualquer momento, pode perder um documento que iniciou hoje de manhã, mas terá a possibilidade de restaurar seu sistema para um do dia anterior, por exemplo.

Ataques com o Cryptolocker, por exemplo, criptografarão também todos os arquivos em unidades mapeadas, como um pen drive. Por isso, o que sua empresa precisa é de um regime de backup regular, para uma unidade externa. Contar com a nuvem nessas horas é uma ótima ideia.

Não importa o quão forte seja seu sistema de segurança, há sempre a possibilidade de um ciberataque. Quando o ransomware está envolvido, há pouca esperança de recuperação. A única forma de determinar que seus dados críticos de negócios estarão protegidos é criando um processo de backup em nuvem capaz de restauração no menor de tempo possível, de acordo com o tempo que seu negócio pode ficar parado.

Se o resgate não for pago a tempo, hackers destruirão todos os seus dados. Assim, sistemas de arquivos armazenados em máquinas e servidores locais desaparecem para sempre. Se você tiver um backup interno, um ransomware pode facilmente tornar seus mecanismos de recuperação de desastre atuais inúteis.

Um provedor de soluções de backup na nuvem, por outro lado, pode fornecer uma proteção muito maior. Serviços como o EcoCloudBackup proporcionam backup ultrarrápido e recuperação simples para os seus arquivos, protegendo dados locais, virtuais e até mesmo aqueles que estão na nuvem. Com capacidade de armazenamento flexível e centros de dados distribuídos em vários países, a solução oferece imunidade a hackers e pode proteger a sua empresa do Ransomware.

6.2 Exibindo extensões de arquivos ocultas

Como citamos anteriormente, uma das formas mais utilizadas pelos hackers para infectar o seu computador com ransomware é por meio de arquivos nomeados com a extensão “.pdf.exe”.

Eles contam com o comportamento padrão da janela de ocultar extensões de arquivo familiares. Se você puder ativar a capacidade de ver a extensão de arquivo completa, será mais fácil detectar envios suspeitos e evitar a infecção.

6.3 Usando ferramentas como o Cryptolocker Prevention Kit

Programas como o Cryptolocker Prevention Kit automatizam o processo de desativar arquivos executáveis nas pastas App Data e Local App Data. A ferramenta é atualizada frequentemente, conforme novas técnicas de propagação do Cryptolocker são descobertas.

6.4 Atualizando com frequência seus softwares

Essa dica funciona não só para prevenir ransomware como vários outros tipos de malware. Os autores desses softwares maliciosos frequentemente se baseiam em vulnerabilidades conhecidas de softwares desatualizados. Atualizar seus aplicativos e o seu sistema operacional pode diminuir significativamente o potencial de infecção.

Ative as atualizações automáticas sempre que puder e visite frequentemente o site de seus fornecedores de software, a fim de certificar-se de que está operando a versão mais recente de um aplicativo.

6.5 Usando uma boa suíte de segurança

É sempre uma boa ideia ter software anti-malware e um firewall para ajudá-lo a identificar ameaças e comportamentos suspeitos. É claro que os autores de malware mudam de tática frequentemente — enviando novas variantes de suas ameaças para tentar evitar a detecção —, mas nem por isso você deve navegar de maneira insegura.

A maioria dos malwares se baseia em instruções remotas. Portanto, um firewall vai prevenir que ele realize sua conexão com seu comando e controle. Isso costuma ser o suficiente para que ele não receba instruções para criptografar seus arquivos.

6.6 Desligue seus aparelhos da rede elétrica

Se você executar um arquivo que suspeita ser ransomware, mas ainda não recebeu nenhuma mensagem suspeita, é possível agir muito rapidamente e interromper a comunicação com o servidor antes que ele termine de criptografar seus arquivos. Desligue imediatamente seus dispositivos da rede elétrica a fim de atenuar os danos.

Leva um certo tempo para criptografar todos os arquivos em sua máquina, então, ao fazer isso você pode ser capaz de pará-lo antes que o pior aconteça. Obviamente, essa técnica não é infalível, mas pode evitar o comprometimento dos servidores da sua empresa.

6.7 Filtrando arquivos executáveis

Provavelmente, o seu gateway de e-mails tem a capacidade de filtrar arquivos por extensão. Uma boa maneira de evitar o ransomware, então, é negar todos os e-mail enviados com arquivos “.exe”. Raros são os casos em que empresas precisam trocar arquivos executáveis por e-mail — portanto, você não estará perdendo quase nada.

Caso seus usuários precisem compartilhar arquivos com essa extensão, utilizar serviços de compartilhamento — como o Dropbox ou o Google Drive — pode ajudar. Se enviá-los por e-mail for impreterível, sugira que eles sejam compactados em arquivos “.zip”

6.8 Educando seus usuários

Não há melhor maneira de evitar o ransomware que educando seus usuários. Realize treinamentos e oriente sua equipe para não clicar em e-mails suspeitos. Defina como política institucional a exclusão de todos os e-mails que chegam de remetentes desconhecidos. Ensine seus usuários a defender-se do ransomware antes de serem atacados.

Instale bloqueadores de script, pop-ups e filtros web nos navegadores utilizados em sua empresa. Uma das consequências do ransomware é que ele pode danificar seu navegador principal — por isso, tenha sempre uma segunda opção instalada em sua máquina.

Você deve ter notado que a recente erupção de ataques de ransomware gerou uma grande quantidade de notícias. Embora esses ataques possam ser assustadores, há muitos outros problemas que podem causar prejuízos para sua empresa.

É por isso que fazer backups regulares sempre foi e sempre será a melhor prática se proteger contra a perda de dados. Dessa forma, independentemente do que aconteça, você será capaz de reiniciar sua vida digital com rapidez.

Se algo bom pode advir da tendência de ransomware é a compreensão da importância de realizar backups regulares e frequentes a fim de proteger nossos valiosos dados.

E então, você gostou desse post sobre tipos de ransomware? Está pronto para continuar aprendendo sobre o assunto? Saiba mais sobre os danos que o ransomware pode trazer para seu negócio clicando aqui!

Inscreva-se para mais como este.

Enter your email
Subscribe