O que são ataques de ransomware?

O ransomware está em ascensão

Os ataques de ransomware têm evoluído rapidamente nos últimos anos, tornando-se mais frequentes, evasivos e caros. Novos modelos de ransomware como serviço (RaaS) oferecem caminhos prontos para o lucro para aspirantes a criminosos, mesmo sem experiência.

Ao mesmo tempo, os invasores estão dando novos toques a técnicas antigas. Alguns estão usando dupla extorsão, multiplicando a pressão sobre suas vítimas ao combinar criptografia e roubo de dados. Outros foram pioneiros em ataques “sem criptografia”, concentrando-se inteiramente na ameaça de vazamento.

À medida que novas técnicas surgem, os métodos tradicionais de recuperação e descriptografia de arquivos estão se tornando menos viáveis. Nesse cenário de ameaças, é mais importante do que nunca focar na prevenção.

Como os ataques de ransomware funcionam?

Esta é uma sequência típica de ataque de ransomware:

Comprometimento inicial

Muitos ataques de ransomware começam com e-mails de phishing. Eles podem parecer ser de varejistas, bancos ou outras entidades com relação a atrasos na entrega, transações fraudulentas e assim por diante. Esses e-mails incluem arquivos ou links infectados que, quando abertos, inserem malware no dispositivo da vítima para iniciar um ataque.

Movimentação lateral

Depois que o malware infecta um dispositivo, o ataque se espalha. Se o dispositivo infectado estiver em uma rede, o malware tentará comprometer um controlador de domínio ou roubar credenciais que lhe permitam se mover pela rede e infectar outros dispositivos.

Execução

O malware será executado assim que tiver acesso suficiente, exfiltrando e/ou roubando os dados da vítima. Por último, a vítima receberá um pedido de resgate, normalmente com um limite de tempo antes que os dados sejam vendidos, vazados ou perdidos. Se a vítima pagar, os invasores que usam estratégias de criptografia geralmente prometem fornecer uma chave de descriptografia que desbloqueia os dados. No entanto, eles nem sempre fornecem a chave de descriptografia e, quando o fazem, ela nem sempre funciona.

Como os ataques de ransomware evoluíram?

O primeiro ataque de ransomware amplamente citado ocorreu em 1989. Após uma conferência da Organização Mundial da Saúde sobre AIDS, os participantes receberam disquetes de “Informações sobre AIDS” carregados com um trojan. O trojan criptografava os arquivos em um sistema infectado e, em seguida, solicitava à vítima que enviasse via correio um pagamento de US$ 189 para um endereço no Panamá para restaurar o acesso.

No início da década de 1990, surgiu o “scareware”, assim chamado por usar engenharia social baseada no medo. Os computadores infectados exibiam uma mensagem de erro com um link para comprar e baixar software para corrigir o problema. (O software, é claro, geralmente era malware, muitas vezes projetado para roubar dados). O scareware persiste hoje em muitas formas, como malspam e pop-ups do navegador.

O crescimento do compartilhamento de arquivos popularizou uma categoria de ransomware chamada bloqueadores de tela. Em vez de criptografar arquivos, eles bloqueavam o sistema do usuário e exigiam um resgate ou "multa" (frequentemente citando a polícia, o FBI, etc.). Na realidade, muitos bloqueadores simplesmente restringiam o movimento do mouse, e uma reinicialização do sistema poderia restaurar as funções normais. Mesmo assim, o medo levou muitas vítimas a pagar.

O vínculo entre ransomware e criptomoedas

No início, as demandas de resgate de usuários individuais normalmente atingiam algumas centenas de dólares. Além disso, os pagamentos de resgate eram geralmente feitos com cartões de pagamento comuns, tornando as transações muito mais fáceis de rastrear e os criminosos mais fáceis de capturar.

Atualmente, as inovações no crime cibernético e na tecnologia de criptomoedas ajudaram a explodir a popularidade do ransomware. Em particular, as criptomoedas (moedas digitais baseadas no anonimato e na criptografia) permitiram que os criminosos encobrissem seus rastros, tornando as transações quase indetectáveis.

Ransomware como serviço (RaaS)

Um subproduto dessa popularidade e sucesso, as ferramentas de RaaS geralmente são baseadas em assinatura e acessíveis, assim como as ofertas legais de SaaS. Muitas estão prontamente disponíveis na dark web e permitem que até pessoas sem habilidade em programação iniciem um ataque cibernético e obtenham uma parte dos seus ganhos. Alguns provedores de RaaS até oferecem suporte técnico e programas pagos de recompensa por bugs.

Ransomware de dupla extorsão

Eventualmente, melhorias na tecnologia de backup e descriptografia de dados começaram a favorecer as vítimas. Em resposta, em 2019, um grupo criminoso chamado TA2102 perpetrou o primeiro ataque de ransomware de dupla extorsão de alto perfil, criptografando e exfiltrando os dados da vítima antes de ameaçar vazá-los, a menos que fossem pagos US$ 2,3 milhões em bitcoins. Dessa forma, mesmo que a vítima tivesse conseguido restaurar seus dados, ainda sofreria uma grave violação de dados, a menos que pagasse.

Ransomware sem criptografia

Em 2022 e 2023, surgiu uma tendência insidiosa que redefiniu como o ransomware funciona em sua essência. Sendo ao mesmo tempo uma evolução e uma espécie de regressão, os ataques de ransomware sem criptografia não criptografam os arquivos das vítimas. Em vez disso, os invasores concentram-se apenas na exfiltração de dados sigilosos como forma de vantagem para extorsão.

As vítimas desses ataques tendem a estar em setores que lidam com PII altamente sigilosas, como os setores jurídico e de saúde. Como a sua principal preocupação é evitar o vazamento de dados sigilosos, muitas pagam o resgate, independentemente da criptografia dos dados. Além disso, as vítimas podem recuperar dados não criptografados com mais rapidez e facilidade, o que geralmente resulta em pagamentos de resgate mais rápidos.

Tipos/exemplos de ataques de ransomware

Entre os inúmeros tipos de ransomware e grupos de ransomware, alguns dos mais comuns e bem conhecidos são:

• CryptoLocker: caracterizado pela sua forte criptografia e enorme botnet, esse ransomware teve tanto sucesso em 2013 e 2014 que continua a inspirar ataques de imitadores.
• WannaCry: um criptoworm que tem como alvo o sistema operacional Microsoft Windows e impactou mais de 300 mil sistemas (e continua aumentando) em todo o mundo desde seu lançamento em 2017. Devido à sua escala e alcance global, continua sendo um dos maiores ataques de ransomware da história.
• NotPetya: surgindo logo após o WannaCry, o NotPetya parecia ser uma nova variante do ransomware Petya de 2016. Entretanto, não havia como recuperar dados criptografados. O ataque foi na verdade um “destructionware” virulento creditado ao grupo de hackers russo Sandworm.
• Ryuk: essa variante de ransomware tem sido associada a vários grupos que impactam setores como saúde, setor público e educação, especialmente os sistemas educacionais dos EUA.
• REvil: notório por violações nos setores jurídico, de entretenimento e público, o REvil lançou uma série de ataques entre maio de 2020 e outubro de 2021, incluindo o ataque ao servidor Kaseya VSA.
• DarkSide: essa variante de ransomware, responsável pelo ataque de 2021 à Colonial Pipeline, é um ataques mais famosos de ransomware de dupla extorsão. DarkSide é uma variante comum "como serviço", com licenciados compartilhando seus lucros.
• GandCrab: o relatório Ransomware em um contexto global de 2021 da VirusTotal citou o GandCrab como o ataque de ransomware mais comum daquele ano, respondendo por 78,5% das amostras coletadas para o relatório.
• LockBit: uma ferramenta de construção para esse sofisticado ransomware vazou no final de 2022. Nas mãos de inúmeros novos invasores, foi a variante mais prolífica de 2023, com mais de 800 vítimas conhecidas de vazamento de dados.

Como o ransomware pode ser distribuído?

Os invasores estão sempre criando novas maneiras de distribuir ransomware, mas várias se destacam como as mais populares e eficazes. Os principais vetores de ataque de ransomware são:

• Phishing: e-mails enganosos ou mensagens semelhantes, geralmente carregadas de links ou anexos infectados, induzem os usuários a permitir a entrada de ransomware em seus sistemas.
• Downloads drive-by: os invasores exploram vulnerabilidades de software, sistema operacional ou navegador para permitir downloads furtivos de ransomware quando a vítima interage com sites ou links comprometidos.
• Vulnerabilidades de software: os invasores exploram pontos fracos em aplicativos ou sistemas, fornecendo-lhes pontos de entrada em uma rede, onde podem implantar ransomware diretamente.
• Sites maliciosos: invasores criam sites fraudulentos que hospedam ransomware e, então, convencem os visitantes a baixá-los sob falsos pretextos.
• Ataques watering hole: os invasores comprometem sites legítimos usados pelas vítimas e, em seguida, usam engenharia social para induzir os visitantes a baixar ransomware.
• Ataques de protocolo de área de trabalho remota (RDP): os hackers obtêm acesso ilícito a conexões RDP, geralmente quebrando ou roubando credenciais de login, para implantar ransomware diretamente em uma rede visada.
• Malvertising (publicidade maliciosa): os invasores hospedam anúncios infectados em sites legítimos, que infectam os sistemas com ransomware quando as vítimas interagem com o anúncio.

Você deveria pagar o resgate?

Para muitas vítimas de ransomware, a pergunta mais difícil é: “Pagar ou não pagar?”

Muitas organizações estão dispostas a pagar para proteger seus dados, mas será essa a decisão certa? Vários relatórios desde 2021 descobriram que cerca de 80% das organizações que o fazem ainda sofrem ataques repetidos. Além disso, como disse o CISO Brad Moldenhauer, “... pagar resgates digitais pode ajudar e incentivar o terrorismo, e certamente o faz para o crime cibernético”.

Considere também estas outras perspectivas:

• Recuperar seus dados não é uma garantia, supondo que essa fosse a intenção do invasor desde o início (leia sobre o NotPetya).
• Em algumas circunstâncias e jurisdições, pagar um resgate é ilegal. Leia mais aqui.
• No caso de dupla extorsão, mesmo que você recupere seus dados, os invasores ainda terão cópias e poderão expô-las se você não pagar.

A escolha geralmente se resume às suas circunstâncias específicas. Você precisará considerar como uma violação e uma possível perda de dados afetarão suas operações, usuários e clientes.

Quais são os efeitos do ransomware nos negócios?

O ransomware afeta organizações de todos os tipos no mundo todo, com mais ataques a cada ano. Isso pode ter efeitos negativos na receita, na opinião pública e mais.

Capital e/ou dados perdidos

Fazer a escolha entre perder dados ou perder dinheiro é um dilema perigoso, especialmente em setores que lidam com dados sigilosos. Se você ignorar as exigências de resgate, corre o risco de sofrer um vazamento de dados. Mesmo que você pague, não há garantia de que você receberá seus dados de volta.

Danos à reputação

Pagando ou não, você é obrigado a denunciar o crime, o que pode gerar cobertura da mídia. Quando isso acontece, sua organização pode perder negócios, a confiança do cliente ou ambos, mesmo que você não tenha culpa.

Repercussões legais

Em um número crescente de estados dos EUA, pagar o resgate é ilegal na maioria dos casos. Outras jurisdições ao redor do mundo também estão considerando estatutos semelhantes. Além disso, uma violação pode resultar em escrutínio regulamentar adicional, o que pode gerar multas e outros custos legais.

Como remover ransomware

Se você suspeitar de uma infecção por ransomware, primeiro tome algumas medidas importantes para impedir que ele se espalhe. Então, em alguns casos, você pode remover a infecção de ransomware. Comece com:

Etapa 1: isole os dispositivos infectados. Desconecte-os de qualquer conexão com ou sem fio (até mesmo da energia elétrica, se necessário) para ajudar a evitar que a infecção se espalhe. Se você descobrir o ransomware antes de ser executado, poderá removê-lo antes que o invasor possa exigir o resgate.

Etapa 2: determine o que você está enfrentando. Consulte sua equipe de TI ou segurança para obter ajuda para identificar a infecção e entender os próximos passos. Você pode encontrar ferramentas de descriptografia para algumas variantes, mas é importante não contar com elas. Os descriptografadores costumam ser ineficazes contra ransomwares sofisticados e não ajudam muito em casos de dupla extorsão.

Etapa 3: recupere seus dados perdidos. Normalmente, você fará isso restaurando-os a partir de um backup. Manter backups frequentes é a única maneira de garantir que você possa recuperar todos os seus dados. Se você não conseguir recuperar seus dados, considere cuidadosamente as possíveis consequências legais e financeiras antes de pagar um resgate.

Etapa 4: remova o ransomware. Aqui, geralmente você precisará da ajuda de um profissional de segurança. Em alguns casos, você também vai querer consultar as autoridades policiais, como o FBI. Sua equipe de suporte deve investigar a causa-raiz da infecção para determinar a vulnerabilidade que permitiu o ataque.

Etapa 5: avalie e trate a causa-raiz. Reforce suas defesas onde quer que elas tenham falhado, seja por uma exploração de backdoor, uma falha na filtragem de e-mail, treinamento insuficiente do usuário ou qualquer outra coisa. Ataques repetidos podem acontecer e acontecem, e você pode se preparar melhor.

A prevenção contra ransomware é fundamental

A realidade é que, uma vez que os invasores criptografam ou exfiltram seus dados, de uma forma ou de outra, você perde. É por isso que prevenir infecções por ransomware é a verdadeira chave para se defender contra elas.

Impedir todos os ataques de ransomware que você sofre é provavelmente impossível, mas com a devida diligência, treinamento de conscientização em segurança e a tecnologia certa, você pode minimizar os riscos. Você precisa de uma estratégia antirransomware eficaz, incluindo princípios e ferramentas que:

• Usem uma sandbox controlada por IA para colocar em quarentena e inspecionar conteúdos suspeitos
• Inspecionem todo o tráfego criptografado em TLS/SSL
• Implementem proteções sempre ativas seguindo as conexões fora da rede

Combinar soluções modernas com uma abordagem defensiva proativa é o modelo de proteção contra ransomware mais eficaz no manual de segurança cibernética atual.

Como a Zscaler pode ajudar

A Zscaler oferece proteção contra ransomware nativa da nuvem para defender seus dados durante todo o ciclo de vida do ataque. Nossa arquitetura zero trust, aprovada globalmente e disponibilizada na nuvem, permite que você:

Elimine a superfície de ataque
Torne todos os pontos de entrada invisíveis para os invasores. A arquitetura zero trust nunca expõe usuários, redes ou aplicativos à internet.

Evite o comprometimento inicial
Inspecione 100% das conexões de entrada e saída. As ameaças são bloqueadas antes que possam causar danos.

Impeça a movimentação lateral
Intermedie conexões diretas, de 1 para 1, entre usuários, cargas de trabalho e aplicativos. A rede permanece invisível para os invasores.

Bloqueie a exfiltração de dados.
Inspecione todo o tráfego em tempo real e na escala da nuvem. Dados sigilosos nunca saem da rede em uma conexão não confiável.