O que é o Ransomware?

Ransomware é uma forma de software malicioso que assume o controle dos dados ou dispositivo da vítima e apresenta um ultimato terrível: pagar um resgate ou enfrentar as consequências. Quer se trate de um confinamento prolongado ou de uma fuga generalizada de dados, a ameaça é quase sempre suficientemente elevada para convencer as vítimas a pagar. 

O processo de Índice de Inteligência de Ameaças IBM Security X-Force de 2023 revela que no ano passado, os ataques de ransomware constituíram quase um quarto de todos os ataques cibernéticos. A popularidade do ransomware é resultado de fatores socioeconômicos globais de amplo alcance – cada um dos quais se combina para criar uma ameaça sempre presente à sua organização.

Os estágios de um ataque de ransomware

Desde ataques hipercomplexos até a exploração de descuidos simples, quase todos os ataques de ransomware se desenrolam em quatro a cinco estágios cruciais. 

Estágio 1: Explorando uma Vulnerabilidade

Seja uma vulnerabilidade em uma parte de sua pilha de tecnologia – ou um único descuido de um membro da equipe – o estágio principal de todo ataque de ransomware é algum tipo de vetor de acesso. Muitas vezes, o elo mais fraco pode ser seus próprios colegas (ou até você mesmo!). O phishing é uma das formas mais comuns pelas quais organizações seguras podem ser invadidas; foi o que permitiu que os invasores desencadeassem um ataque de ransomware ao jornal The Guardian, do Reino Unido, no início de 2023.

Outras tentativas de infiltração aproveitam sites maliciosos ou atacam diretamente vulnerabilidades de software. 

Etapa 2: Liberte o RAT

O acesso remoto é mais comumente visto no contexto de suporte técnico – com isso ativado, sua equipe de TI pode ajudar os colegas em suas tarefas diárias de computação. O suporte remoto permite que outros usuários assumam privilégios administrativos completos, dando-lhes controle total sobre todos os processos do seu PC. Um RAT distorce isso ao ser instalado em um computador sem o conhecimento do usuário.  

É comum que os invasores usem RATs como uma forma de contornar as medidas de segurança estabelecidas – enquanto as soluções antivírus podem identificar ransomware por meio da simples detecção de assinatura de arquivo, um trojan de acesso remoto é mais difícil de detectar antes da implantação. Aproveitando arquivos de aparência legítima, como pacotes de software e videogames, o RAT oferece uma variedade de caminhos para qualquer invasor intrigante, abrindo caminho para o estágio seguinte do ataque.

Etapa 3: Reconhecimento 

Com uma posição segura no sistema da vítima, torna-se possível para o invasor começar a bisbilhotar. O foco principal é colocado na compreensão dos sistemas locais, juntamente com o domínio ao qual eles têm acesso atualmente. A partir daí, eles estão livres para começar a se mover lateralmente. É aqui que reside a maior fraqueza da segurança do tipo perímetro; se depender apenas de uma única linha de defesa, o movimento lateral será muito mais fácil – e o eventual ataque terá maior alcance. Neste ponto, porém, o invasor está expandindo ativamente seu domínio sobre o sistema e comprometendo contas cada vez mais privilegiadas, ao mesmo tempo em que permanece o mais furtivo possível. 

Etapa 4: Exfiltração

O invasor, nesta fase, alcançou o maior número possível de áreas da organização. Só agora, porém, é que é tomada qualquer acção que beneficie directamente o grupo atacante. O foco muda para a identificação e exfiltração de dados – quanto mais confidenciais, melhor. O aumento de ataques conjuntos de extorsão e ransomware se deve ao contexto do cenário atual de gerenciamento de ameaças. As violações de dados acarretam multas pesadas e uma série de relações públicas ruins; da perspectiva do invasor, esses dados também podem ser vendidos para outras áreas da máquina do crime cibernético. A essa altura, os agressores fizeram outra vítima. Independentemente da fase final que se segue, eles provavelmente conseguirão ganhar o dinheiro que procuram. 

Etapa 5: criptografia

Finalmente, depois de desviarem secretamente TB de dados da empresa – através de credenciais de login, informações pessoais dos clientes e propriedade intelectual – os cibercriminosos conseguem desferir um golpe final. O ransomware criptográfico abre caminho através de todos os arquivos que pode acessar através das redes afetadas, criptografando à medida que avança. As formas avançadas de algumas variedades de ransomware vão ainda mais longe, desativando recursos que permitiriam uma última restauração do sistema e excluindo quaisquer backups na rede infectada. No entanto, nem todos os ransomware criptografam: alguns bloqueiam a tela do dispositivo ou até inundam o usuário com uma enxurrada interminável de pop-ups.

Finalmente, quando o dispositivo e os ficheiros associados ficam inacessíveis, a vítima é informada do seu mau destino através de uma nota de resgate. Muitas vezes, isso se materializa como um arquivo .txt depositado na área de trabalho do computador e contém instruções sobre como pagar o resgate. 

Quem é o alvo do ransomware?

A cada ataque bem-sucedido, o invasor de ransomware fica mais ousado, visando os setores de maneiras que causam o maior sofrimento possível. Nos últimos anos, uma área tem sido alvo de especial crueldade: as infra-estruturas críticas. 

Um ataque a um fornecedor de energia pode resultar numa falha da rede ou na produção inconsistente de energia para residências, edifícios comerciais ou outros prestadores de serviços críticos. Centrais eléctricas, instalações de tratamento de água, sistemas de transporte e redes de comunicação têm sido áreas de especial atenção nos últimos anos. Isto é em grande parte resultado de grandes falhas ocultas nos sistemas de controle industrial, que são usados ​​para monitorar e controlar esses componentes críticos da infraestrutura.

Schneider Electric e Siemens são duas soluções de controle industrial que já ofereceram aos atacantes caminhos de ataque multi-cadeia. Um exemplo recente é uma falha que afeta os medidores de energia ION e PowerLogic da Schneider Electric. Estes fornecem monitoramento de energia para organizações nos setores de manufatura, energia e água; marcado como CVE-2022-46680, este exploit recebeu uma pontuação CVSS severa de 8.8 em 10 e permite que os atores da ameaça acessem credenciais que os ajudariam a alterar as configurações e modificar o firmware.

Por que os ataques de ransomware estão se espalhando?

O número de ataques de ransomware continua a disparar – em parte devido às mudanças na economia global. Como o ransomware é um ataque muitas vezes fortemente motivado financeiramente, questões socioeconómicas como a pobreza e a desigualdade de riqueza desempenham um papel importante na sua popularidade. Isso também se acelerou nos últimos anos – em parte porque o ransomware é agora o mais acessível de todos os tempos. Os aspirantes a cibercriminosos não precisam mais de um conhecimento profundo de segurança de rede. Em vez disso, certos desenvolvedores de ransomware optam por compartilhar seu código de malware por meio de acordos de ransomware como serviço (RaaS). Nessa configuração, o cibercriminoso atua como afiliado, aproveitando o código pré-escrito e compartilhando uma parte do pagamento do resgate da vítima com o desenvolvedor original. Esta relação simbiótica revela-se mutuamente vantajosa: os afiliados podem colher os benefícios da extorsão sem a necessidade de desenvolver o seu próprio malware, enquanto os desenvolvedores podem aumentar os seus lucros sem se colocarem na linha da frente. 

A razão final para o aumento de casos de ransomware é a tensão geopolítica. É a força motriz por trás dessas campanhas massivas contra os pesos pesados ​​da infra-estrutura. A ideia de um hacker apoiado pelo Estado costumava ser isolada para atacar atores diretamente financiados por Estados maliciosos. Agora, os tempos mudaram. Com a invasão da Ucrânia pela Rússia – e a crescente acessibilidade ao ransomware – agentes de ameaças não afiliados envolveram-se com fervoroso entusiasmo. Infra-estruturas críticas, como os caminhos-de-ferro, foram orgulhosamente interrompidas – como o hackeamento dos caminhos-de-ferro bielorrussos pelos Cyber ​​Partisans, que foi orquestrado numa tentativa de impedir o movimento de soldados russos. 

História de ataques de ransomware

Começando com um disquete experimental, o ransomware levou muito tempo para evoluir para os ataques hiperagressivos que as organizações enfrentam hoje.

1989: Início de baixa tecnologia. O primeiro ransomware documentado foi o Trojan AIDS. Distribuído através de disquetes, o nascimento do ransomware tem raízes surpreendentemente de baixa tecnologia. Os diretórios de arquivos no computador da vítima foram ocultados, antes que o pop-up do ransomware exigisse US$ 189 para revelá-los. No entanto, como ele criptografou os nomes dos arquivos em vez dos arquivos reais, os próprios usuários conseguiram reverter o dano.

2005: Surgem novos estilos de criptografia. Após um número relativamente pequeno de ataques de ransomware no início da década de 2000, começou um aumento nas infecções, concentrado principalmente na Rússia e na Europa Oriental. Surgiram as primeiras variações que utilizavam criptografia assimétrica. À medida que os ransomware mais recentes ofereciam métodos mais eficazes para extorquir dinheiro, um número crescente de cibercriminosos começou a espalhar ransomware em todo o mundo.

2009: Pagamentos não rastreáveis ​​entram na briga. O advento da criptomoeda, especialmente do Bitcoin, proporcionou aos cibercriminosos uma forma de receber pagamentos de resgate não rastreáveis, resultando na próxima onda de atividades de ransomware.

2013: CryptoLocker prova seu valor. A era moderna do ransomware começa com a introdução do CryptoLocker, marcando o início de scripts de ransomware baseados em criptografia que, uma vez implantados, exigem que a vítima faça o pagamento em criptomoeda.

2015: Nasce o RaaS. A variante do ransomware Tox é pioneira no modelo de ransomware como serviço (RaaS), permitindo que outros cibercriminosos acessem e implantem facilmente ransomware para seus próprios fins maliciosos.

2017: WannaCry chega ao NHS. O surgimento do WannaCry significa os primeiros criptoworms auto-replicantes amplamente utilizados, permitindo a rápida propagação do ransomware através de redes e sistemas. 

2018: Ryuk tem como alvo o Wall Street Journal e o LA Times. Ryuk ganha popularidade e estabelece o conceito de caça grossa em ataques de ransomware, visando organizações de alto valor para pagamentos de resgate maiores.

2019: A dupla extorsão se torna a norma. Ataques duplos de ransomware começam a surgir. A maioria dos incidentes de ransomware tratados pela equipe de resposta a incidentes de segurança da IBM agora envolvem tanto a criptografia de dados quanto a ameaça de expô-los caso o resgate não seja pago.

2023: O sequestro de threads agora é popular. O sequestro de threads surge como um vetor proeminente para ransomware, em que os cibercriminosos se inserem em conversas on-line de seus alvos para facilitar a disseminação de ransomware e aumentar suas chances de extorsão bem-sucedida.

Por que você não deveria simplesmente pagar o resgate

Em 2019, a maioria das vítimas de ransomware acabou pagando aos seus agressores. No entanto, no primeiro trimestre de 2022, esse número diminuiu. Isso se deve em parte ao grande número de razões que impedem o pagamento desse resgate crucial.

Você pode não obter uma chave de descriptografia

Em média, em 2021, as organizações que pagaram o resgate recuperaram apenas 61% dos seus dados. O número de organizações que pagaram e posteriormente receberam todos os seus dados foi de apenas 4%. Depois que os hackers recebem o resgate, seus dados ainda valem dinheiro para eles – vendê-los e vazá-los oferece a eles um retorno de investimento ainda maior.

Você pode receber exigências de resgate repetidamente

A esmagadora maioria das vítimas que pagam é atingida por mais ataques de resgate no futuro. Um relatório importante de 2022 analisou o que acontece depois que uma organização simplesmente paga seus agressores e descobriu taxas terrivelmente altas de reincidência. De todas as vítimas que admitiram ter pago o resgate, 80% delas foram posteriormente atingidas pela segunda vez – 68% das quais sofreram ataques no mesmo mês com um pedido de resgate mais elevado. Uma razão para isto é o facto de aqueles que optam por pagar serem vistos como alvos vulneráveis. 9% pagaram pela terceira vez.

Em breve você poderá estar infringindo a lei

O Departamento do Tesouro dos EUA já divulgou um alerta sobre futuros problemas jurídicos. Estar envolvido em pagamentos de ransomware – seja como vítima, uma empresa de seguros cibernéticos ou uma instituição financeira – pode potencialmente violar as leis relativas à segurança internacional. Isto deve-se em grande parte ao último ponto que enfatiza as realidades económicas do ransomware.

Você financia atividades criminosas

Com cada vítima que paga, os grupos de hackers conseguem desenvolver métodos ainda mais avançados de uso de malware para se infiltrar em empresas mais vulneráveis. Pagar o resgate não só piora o ransomware em si – mas também financia diretamente estados-nação agressivos que muitas vezes financiam esses ataques públicos e perturbadores.

Por outro lado, quanto mais obstáculos os hackers enfrentam em suas atividades criminosas, menores são as chances de eles continuarem a prejudicar outras empresas. 

Os diferentes tipos de ransomware 

O ransomware geralmente assume uma variedade de formas diferentes e, embora o ransomware baseado em criptografia seja um dos tipos mais comuns, criptografar dados confidenciais não é a única maneira pela qual os dados das organizações podem ser mantidos sob a mira de uma faca. 

Scareware

Scareware é o primo de baixa tecnologia do ransomware. Freqüentemente, eles verão uma carga maliciosa inicializando uma mensagem que afirma ser da aplicação da lei ou mesmo de uma infecção legítima por vírus. Isso pode direcionar o usuário para um software antivírus falso – fazendo com que as vítimas paguem pelo privilégio de baixar seu próprio ransomware. 

Bloqueadores de tela

Essa forma de ransomware bloqueia o acesso do usuário não com criptografia, mas simplesmente impedindo que o usuário interaja com qualquer um de seus arquivos. O bloqueio de todo o dispositivo da vítima geralmente é conseguido bloqueando o acesso ao sistema operacional. Em vez de inicializar normalmente, o dispositivo simplesmente exibe o pedido de resgate.

Limpadores

Embora o ransomware baseado em criptografia muitas vezes atraia as vítimas a pagar com a promessa de que tudo voltará ao normal, os limpadores adotam uma abordagem mais agressiva. A nota de resgate ameaçará destruir todos os dados se não for paga. Mesmo nos casos em que as vítimas pagam, os dados são frequentemente excluídos de qualquer maneira. O enorme potencial destrutivo dos limpadores faz deles uma ferramenta particularmente bem utilizada por atores estatais e hacktivistas. 

Variantes populares de ransomware

No mundo turvo e em constante evolução do ransomware, as variantes podem estar aqui em um momento e desaparecer no momento seguinte. Quatro grandes intervenientes entraram em cena na última década, cada um dos quais desempenhou um papel único ao empurrar a indústria ilícita para um novo terreno.

WannaCry

WannaCry foi o primeiro exemplo proeminente de criptoworm – o tipo de ransomware capaz de se espalhar para outros dispositivos dentro de uma rede. O ataque atingiu mais de 200,000 mil computadores em 150 países, explorando a vulnerabilidade EternalBlue no Microsoft Windows que os administradores não conseguiram corrigir. Além de criptografar dados valiosos, o ransomware WannaCry também representava uma ameaça de limpeza de arquivos se o pagamento não fosse recebido dentro de um período de sete dias.

O ataque WannaCry é um dos maiores incidentes de ransomware registrados até o momento, com custos estimados chegando a US$ 4 bilhões. O seu impacto em larga escala e a sua rápida propagação realçaram as consequências significativas que as vulnerabilidades não corrigidas e a negligência dos administradores de sistemas podem ter face a tais ameaças cibernéticas.

REVIL

REvil, também conhecido como Sodin ou Sodinokibi, desempenhou um papel significativo na popularização do modelo Ransomware-as-a-Service (RaaS) para distribuição de ransomware. Esta abordagem permite que outros cibercriminosos acessem e utilizem o ransomware REvil para suas próprias atividades maliciosas. REvil ganhou notoriedade por seu envolvimento em ataques de caça grossa e táticas de dupla extorsão.

Em 2021, o REvil foi responsável por ataques notáveis ​​à JBS USA e à Kaseya Limited. A JBS, importante operação de processamento de carne bovina nos Estados Unidos, passou por uma interrupção que levou ao pagamento de um resgate de US$ 11 milhões. O ataque impactou as operações de processamento de carne bovina da JBS em todos os EUA. A Kaseya Limited, fornecedora de software, viu mais de mil clientes afetados graças ao tempo de inatividade significativo causado pelo ataque.

No início de 2022, o Serviço Federal de Segurança Russo declarou que havia desmantelado o REvil e começou a acusar vários de seus membros por seus crimes passados.

Ryuk

Observado pela primeira vez em 2018, o ransomware Ryuk liderou os ataques de “ransomware de grandes jogos” que visam especificamente entidades de alto valor; seus pedidos de resgate ultrapassavam regularmente um milhão de dólares. Ryuk está equipado para atingir essas organizações de sucesso graças à sua capacidade agressiva de identificar e desabilitar arquivos de backup e funcionalidades de restauração do sistema. Em 2021, foi identificada uma nova estirpe de Ryuk com capacidades de criptoworm, aumentando ainda mais a sua capacidade de infecção rápida e extensa.

Lado escuro

DarkSide é uma variante de ransomware que se acredita ser operada por um grupo suspeito de estar baseado na Rússia. Em 7 de maio de 2021, o DarkSide realizou um ataque cibernético significativo ao Oleoduto Colonial dos EUA, que é considerado o ataque cibernético mais grave a infraestruturas críticas nos Estados Unidos até agora. Como consequência do ataque, o gasoduto, responsável pelo fornecimento de aproximadamente 45 por cento do combustível à Costa Leste dos EUA, foi temporariamente encerrado. 

O grupo DarkSide não apenas realiza ataques diretos de ransomware, mas também licencia seu ransomware para outros afiliados de criminosos cibernéticos, permitindo ao grupo expandir seu alcance e lucros.

Como se proteger contra ransomware

É crucial investigar minuciosamente a origem de um ataque de ransomware e tomar as medidas adequadas para resolver o problema. Se o ataque tiver origem no clique de um funcionário em um link arriscado, é importante aprimorar o treinamento dos funcionários em identificando ataques de phishing e enfatize a importância de manter senhas exclusivas e seguras, como senhas. A implementação de software de autenticação de dois fatores para todos os dispositivos e funcionários pode fornecer uma camada extra de proteção.

A atualização regular de software e hardware é essencial para mitigar possíveis vulnerabilidades. É necessário fortalecer sua infraestrutura de segurança cibernética para acompanhar as táticas em constante evolução empregadas pelos invasores. Configurar regularmente sua rede pode ajudar a interceptar tráfego malicioso e tornar mais difícil para os criminosos atacarem sua organização.

Identificar quaisquer lacunas de segurança e resolvê-las imediatamente é vital. Cada incidente de segurança deve ser visto como uma oportunidade para obter insights sobre as vulnerabilidades da infraestrutura e melhorar a postura geral de segurança. A segurança é um processo contínuo que requer testes e melhorias constantes para ficar à frente de possíveis ameaças.

Como LayerX protege contra ransomware

À medida que as táticas de ransomware cresceram cada vez mais, as vulnerabilidades que abrem o caminho para os invasores mudaram. Ao mesmo tempo, o navegador tornou-se um componente central do espaço de trabalho moderno, assim como os aplicativos que abrangem desde aplicativos gerenciados até aplicativos totalmente não sancionados. Situada entre o ambiente seguro de um endpoint protegido e a rede mundial de computadores está a intersecção única dessas aplicações – e o ponto fraco de muitas organizações. 

LayerX protege os ativos que estão além do controle da equipe de segurança da empresa, introduzindo granularidade profunda. Isso destaca quaisquer atividades que possam apresentar o risco de ransomware ou download de RAT. O foco na proteção local permite que o LayerX seja implantado com uma extensão de navegador de instalação rápida no nível do perfil do usuário. A visibilidade que prioriza o usuário é combinada com análises líderes do setor na vanguarda da nuvem de inteligência contra ameaças da LayerX. Após a identificação proativa de elementos de alto risco, os elementos executores da LayerX agem de forma decisiva – neutralizando qualquer ameaça de criptografia generalizada sem a ameaça de interrupção do usuário. Com o LayerX, as organizações podem implantar proteção total em qualquer lugar que os usuários acessem a web.