Varonis | Segurança de dentro para fora

Guia sobre Ransomware: tipos e definições de ataques de ransomware | Varonis

Escrito por Emilia Bertolli | Oct 27, 2020 12:01:45 AM

Ataques de ransomware podem resultar em perda significativa de dados, funcionalidade do sistema e recursos financeiros. Mas o que exatamente é ransomware? O ransomware pode assumir uma variedade de formas e formatos, sem mencionar que os invasores estão em constante evolução e adaptação ao longo do tempo. As organizações precisam estar bem informadas sobre os vários tipos de ransomware para implementar as proteções adequadas.

O que é ransomware?

Ransomware é um tipo especial de vírus ou malware projetado principalmente para desativar sistemas críticos ou impedir o acesso a dados confidenciais, a menos que seja feita uma remuneração financeira. Por exemplo, um ataque de ransomware a um hospital pode impedir que médicos ou administradores acessem registros de pacientes de que precisam continuamente. O invasor pode então enviar uma mensagem para todo o sistema exigindo pagamento para restaurar o acesso.

Em um alto nível, o ransomware usa criptografia para criptografar e descriptografar arquivos. O malware criptografa o acesso a sistemas ou arquivos, concedendo apenas uma chave privada especial quando um resgate é coletado. Resumindo, o ransomware impede que as organizações operem, a menos que o invasor receba pagamento. Os hackers também podem criptografar informações confidenciais ou privadas, ameaçando divulgá-las, a menos que sejam compensados.

Quando o ransomware surgiu?

Os primeiros ataques de ransomware começaram a ocorrer no final dos anos 1980. Os criminosos obtinham arquivos criptografados – às vezes fisicamente – e os resgatavam em dinheiro enviado pelos correios. O primeiro grande software de ransomware documentado foi o trojan da AIDS, um vírus PC Cyborg que foi lançado em 1989 na forma de um disquete. Se infectados com o cavalo de Tróia AIDS, os usuários tinham que enviar um cheque para uma caixa postal no Panamá para restaurar o acesso aos seus sistemas.

O ransomware obviamente evoluiu tremendamente desde então, com 2021 testemunhando um dos ataques de ransomware mais sofisticados e com alto impacto. Uma única senha vazada foi supostamente usada para violar o sistema da maior empresa de oleoduto dos Estados Unidos, forçando a empresa a pagar mais de $ 5 milhões em criptomoedas para restaurar as operações de seus sistemas.

Ataques de ransomware de infraestrutura como o pipeline colonial têm sido uma tendência, semelhante ao que ocorreu em 2017 contra o National Health Service (NHS) do Reino Unido. Os hackers estão se concentrando em organizações e serviços que são essenciais para as funções contínuas da sociedade, sabendo muito bem que o custo desses sistemas diminuindo por muito tempo excede em muito o resgate que eles pedirão. Na verdade, em 2020, a saúde foi responsável por mais de 50% de todos os ataques de ransomware.

Provedores de serviços terceirizados e organizações de terceirização também provavelmente serão alvos crescentes de ransomware em 2021 e além. Na medida em que as empresas se tornam mais distribuídas em termos de operações de negócios e infraestrutura de TI, os criminosos procuram vulnerabilidades onde quer que as encontrem. Portanto, embora uma empresa possa estar sediada nos Estados Unidos e ter defesas cibernéticas adequadas, os ataques de ransomware ainda podem tentar encontrar uma porta dos fundos por meio de um contratante ou centro de dados na Índia ou no Brasil.

O volume de ataques de ransomware também deve aumentar em 2021 e depois, com a prevalência do RaaS sendo um grande contribuidor. O RaaS reduz a barreira de entrada para a realização de ataques de ransomware, e o mercado desse software continua a crescer na dark web.

Como funciona o ransomware?

Para que ocorra um ataque de ransomware, o malware deve primeiro obter acesso ao sistema, geralmente por meio de um único terminal de computador. Isso geralmente ocorre por meio de um ataque de phishing, em que os usuários recebem arquivos ou anexos que parecem confiáveis. Mas quando o usuário abre ou baixa o arquivo, o malware é lançado no terminal. Em ataques sofisticados, o software malicioso pode até desbloquear acesso administrativo avançado, comprometendo ainda mais o sistema.

A forma mais comum de ransomware criptografa imediatamente os arquivos do usuário – ou de todo o sistema. A chave matemática para desbloquear os arquivos é conhecida apenas pelo invasor, que concorda em liberá-los assim que o pagamento for feito. Freqüentemente, isso ocorre por meio de uma transferência eletrônica para um banco offshore ou de um pagamento de criptomoeda não rastreável para uma carteira específica. Outra variação chamada Leakware rouba dados confidenciais e ameaça liberar essas informações para o público, concorrentes comerciais ou agentes da lei, a menos que o pagamento seja feito.

Resumindo, o ransomware invade um computador ou sistema inteiro, no ponto em que a organização é mantida refém até que paguem o resgate ao invasor.

Quem é o alvo?

Os criminosos que utilizam o ransomware selecionam seus alvos de acordo com uma variedade de fatores. Em alguns casos, os invasores simplesmente selecionam alvos fracos. Ou eles observaram uma organização específica e sabem que suas defesas cibernéticas estão abaixo do ideal ou escolheram um determinado setor por causa da segurança cibernética tradicionalmente pobre. As universidades, por exemplo, são bons alvos porque suas equipes de segurança são menores e realizam um compartilhamento massivo de arquivos, fornecendo aos hackers um grande número de endpoints para explorar.

Outras vezes, os atacantes de ransomware vão atrás de empresas ou governos que consideram mais capazes ou mais propensos a pagar o resgate. Grandes corporações como a Sony – a vítima de um dos maiores ataques de ransomware da história – ou governos geralmente têm os fundos e na maioria das vezes pagarão por necessidade. Outras instituições, como hospitais, provavelmente também pagarão simplesmente porque vidas estão literalmente em risco se seus sistemas ficarem inativos por longos períodos de tempo.

Finalmente, os hackers de ransomware irão atrás de organizações que eles sabem que possuem informações confidenciais que podem ser prejudiciais se divulgadas para o público em geral. Arquivos ou dados sobre procedimentos legais ou propriedade intelectual confidencial são visados ​​e as empresas muitas vezes entregam dinheiro para garantir que esses detalhes não sejam tornados públicos. O dano financeiro que uma entidade incorreria em muitas instâncias excede em muito o pagamento do resgate, tornando essas instâncias extremamente lucrativas.

Tipos de ransomware

O ransomware vem em muitas formas diferentes, evoluiu ao longo dos anos e continua a se transformar para evitar medidas modernas de segurança cibernética.

Aqui estão alguns dos principais tipos de ransomware que você deve conhecer:

Locker Ransomware

Esse tipo de malware impede que sistemas e dispositivos executem funções básicas. As funções de teclado e mouse podem ser desativadas ou os privilégios de login negados. Normalmente, os usuários podem interagir com o dispositivo na medida em que o ataque permitir, a fim de fazer o pagamento do resgate. Locky é um dos malwares de armário mais comuns. A boa notícia é que os ataques do Locker não visam destruir ou comprometer dados. Apenas para extrair fundos para restaurar a funcionalidade.

Crypto Ransomware

Esses ataques têm como objetivo criptografar dados importantes, como documentos, vídeos ou fotos. Embora a funcionalidade básica do sistema ainda exista, os usuários não conseguem acessar os arquivos que normalmente acessam. Apenas os atacantes possuem as chaves criptográficas para restaurar o acesso mediante pagamento. Ataques criptográficos também podem vir com cronômetros de contagem regressiva, indicando que se o pagamento não for feito até o momento em que o relógio chegar a zero, todos os arquivos serão excluídos.

Scareware

Nesses ataques, o malware infecta um sistema ou dispositivos e se apresenta como um alerta legítimo, alegando detectar alguma outra forma de vírus ou mau funcionamento. Em seguida, ele solicita que o usuário faça um pagamento a um serviço ou empresa falsa para resolver o problema. É chamado de Scareware porque os usuários muitas vezes ficam com medo de pensar que há um problema real e remeter o pagamento, sem saber que toda a provação é um golpe de ransomware. Todos os funcionários e funcionários devem ser treinados sobre como localizar scareware e o que fazer se suspeitarem de um ataque.

Doxware

Esses ataques ameaçam distribuir informações confidenciais ou sigilosas online ou vazá-las para vários terceiros. Os ataques de Doxware podem ser altamente eficazes, conforme mencionado porque as empresas costumam ver mais danos financeiros ocorrendo com informações vazadas do que o valor do resgate. Algumas informações são tão confidenciais que podem até ameaçar a própria existência de uma empresa, tornando os ataques de Doxware extremamente perigosos. Portanto, a instalação antecipada de medidas adequadas de proteção de dados é de extrema importância para as empresas.

Ransomware-as-a-Service (RaaS)

Este tipo emergente de ransomware funciona quase exatamente como Software-as-a-Service. O ator malicioso não precisa de nenhuma habilidade técnica real, eles simplesmente compram o ransomware na dark web e pagam uma taxa de assinatura mensal para seu uso. Os invasores podem simplesmente fazer login no serviço, selecionar alvos, realizar hacks e receber pagamentos, tudo por meio de uma interface.

Como remover o ransomware?

e você for vítima de um ataque de ransomware, existem etapas que você pode seguir para neutralizar o malware e potencialmente removê-lo do seu sistema. O primeiro passo é desconectar imediatamente os dispositivos e sistemas da Internet. Isso inclui dispositivos sem fio, discos rígidos externos, mídia de armazenamento e contas na nuvem. A desconexão completa pode impedir a disseminação de ransomware em sua rede.

Em seguida, você precisará executar uma verificação completa de vírus em seus sistemas e dispositivos usando qualquer software de segurança de Internet que esteja usando. Isso o ajudará a identificar a ameaça e colocar o software malicioso em quarentena antes que ele execute outras ações, como bloqueio de dispositivo ou destruição de arquivo. Você pode excluir esses arquivos e programas automaticamente usando o software ou manualmente, se necessário.

No caso de um ataque de cripto-ransomware, você precisará empregar uma ferramenta de descriptografia para recuperar o acesso aos seus dados. Depois de descriptografar seus arquivos, o invasor perde toda a vantagem para extorquir você financeiramente. E no caso de Lockerware, os usuários devem reiniciar seus dispositivos no Modo de Segurança. Isso às vezes pode contornar o malware, permitindo que os usuários naveguem até os programas antivírus em sua área de trabalho para colocar em quarentena e remover o malware.

Os ataques de ransomware estão crescendo em volume e sofisticação, conforme ilustrado pelo incidente do pipeline colonial. As organizações dos setores público e privado precisam ir além em seus sistemas e esforços de proteção de dados para evitar ataques de ransomware. A instalação de um software antivírus ou a contratação de uma pequena equipe de segurança da informação com uma mentalidade de “configure e esqueça” simplesmente não resolverá o problema.

Você precisará criar uma cultura interna de vigilância contra malware, atualizar constantemente sua pilha de tecnologia de segurança cibernética e buscar parceiros de defesa cibernética experientes para ficar à frente da curva e evitar pagar milhões a criminosos cibernéticos apenas para colocar seus sistemas e dados online novamente.