Recursos/White Papers

Tecnologia

Por que ataques de ransomware são tão eficientes

Usado por cibercriminosos para extorquir dinheiro de usuários, golpe está em franca expansão. Veja como proteger você e a sua empresa

Da Redação

Publicada em 29 de julho de 2016 às 12h04

No fim de 2015, as Previsões de Segurança da Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – nomearam 2016 como o ano das extorsões online, afirmando: “em 2016, as ameaças online evoluirão contando mais com o aprimoramento da psicologia por trás de cada golpe do que com melhorar os aspectos técnicos da operação. Os agressores continuarão a usar o medo como o principal componente do golpe, pois ele já se mostrou eficaz no passado”.

Este mês, a Europol (a polícia nacional holandesa), em parceria com a Intel Security e Kaspersky Lab, lanócu a iniciativa No More Ransom (Chega de Resgates, em tradução livre), nova etapa na cooperação entre autoridades legais e setor privado para combater o ransomware. O projeto inclui portal com informações sobre os perigos deste tipo de ataque, além de ajudar vítimas a recuperar seus dados sem que precisem pagar resgates aos criminosos virtuais – são mais de 160.000 chaves disponíveis.

Para as autoridades legais da UE, o ransomware é uma das principais ameaças: quase dois terços dos países membros da UE estão conduzindo algum tipo de investigação sobre esta forma de ataque. A maioria dos alvos são de usuários individuais, no entanto, redes corporativas e até mesmo de governos também são afetados. O número de vítimas está crescendo em velocidade alarmante: segundo a Kaspersky Lab, a quantidade de usuários atacados por ransomware de criptografia aumentou de 131.000 em 2014-2015 para 718.000 em 2015-2016 (5,5%).

O objetivo do portal No More Ransom é disponibilizar na Internet um recurso auxiliar para vítimas de ransomware. É possível encontrar informações sobre o que é ransomware, como ele funciona e, mais importante, como se proteger dele. A conscientização é fundamental, pois ainda não há ferramentas de descriptografia para todos os tipos de malware existentes. É muito provável que a vítima de uma infecção tenha os seus dados perdidos para sempre. O uso consciente da Internet, seguindo algumas dicas simples de segurança virtual, pode, antes de mais nada, evitar a infecção. 

O projeto oferece ferramentas que podem ajudar vítimas de ataques a recuperar dados bloqueados pelos criminosos. Em sua fase inicial, o portal contém quatro ferramentas de descriptografia, para tipos diferentes de malware. A mais recente foi desenvolvida em junho deste ano para a variação do Shade, um ransomware cavalo de Troia que surgiu no final de 2014. 

O malware se espalha por meio de sites maliciosos e anexos de e-mail infectados. Depois de entrar no sistema do usuário, o Shade criptografa os dados armazenados na máquina e cria um arquivo .txt com bilhete de resgate e instruções dos criminosos virtuais como reaver suas informações. Este ataque utiliza algoritmo de descriptografia forte para cada arquivo criptografado, gerando duas chaves AES aleatórias de 256 bits: uma para criptografar o conteúdo do arquivo e outra para criptografar o nome do arquivo. 

Desde 2014, Kaspersky Lab e Intel Security evitaram mais de 27.000 tentativas de ataques do cavalo de Troia Shade. A maioria das infecções ocorreram na Rússia, Ucrânia, Alemanha, Áustria e Cazaquistão. Também houve registros de atividade do Shade na França, República Tcheca, Itália e EUA.

A Trend, por sua vez, anunciou no começo do mês o lançamento das ferramentas Trend Micro Crypto-Ransomware File Decryptor Tool e a Trend Micro Lock Screen Ransomware Tool. A versão atual da ferramenta Trend Micro Ransomware File Decryptor trabalha em 10 famílias diferentes de ransomware.

ransomware2016_625

A psicologia por trás do ransomware
Dividido em etapas, a operação de ransomware é simples: basta encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou arquivos críticos dentro dele e forçar a vítima a pagar o resgate. Ao longo dos anos, o ransomware se desenvolveu tremendamente se tornando uma ameaça cibernética eficaz que não só assusta suas possíveis vítimas com uma tela bloqueada, mas como um malware que conhece os pontos fracos de seus alvos.

Segundo a Trend Micro, as primeiras variantes do ransomware se aproveitaram do medo de suas vítimas por meio de Cavalos de Troia (como o Reveton), fingindo ser alertas legítimos de violações de leis federais para enganar os usuários, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware, que sequestrava os dados das vítimas.

Já na opinião da Cisco, são três principais razões que levam a que este tipo de ataque constitua uma das maiores ameaças ao bom funcionamento da rede de uma empresa:

– Os atacantes operam sem restrições e são mais focados: o ransomware está passando dos ataques a clientes finais e computadores para se dirigir a empresas e servidores, maximizando os potenciais prejuízos e lucros, e minimizando a possibilidade de serem detectados rapidamente;

- A evolução dos métodos de ataque: os cibercriminosos aproveitam a falta de visibilidade nos sistemas das organizações para apropriar-se das infraestruturas de rede. Tanto, que a exploração de vulnerabilidades Windows Binary tornou-se o principal método de ataque na Web nos últimos seis meses (ultrapassando o Facebook);

– A maior capacidade para ocultar o rasto: a utilização de criptografia como método de ocultar as operações é algo cada vez mais frequente. A Cisco notou um aumento no uso de bitcoins, do protocolo TLS e da rede Tor, por exemplo, elementos que permitem a comunicação anónima através da internet.

Maior alcance
Além disso, segundo a trend Micro, as Iscas de engenharia social continuam a funcionar mas agora em um escopo maior.

Em maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de emails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de email amazon.com e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.

No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.

Forçando pagamentos
Para o pagamento do resgate, os desenvolvedores de ransomware criaram uma série de maneiras para convencer os usuários de que pagar o resgate é a melhor opção.

Em abril, surgiu um novo tipo de ransomware chamado Jigsaw, que tem esse nome inspirado na franquia de filmes, Saw ou Jogos Mortais em português. O método de extorsão envolve um cronômetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$150 – e assim recuperar o acesso aos arquivos criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de arquivos criptografados é apagado.

O Jigsaw mostra a direção que os chantagistas estão tomando hoje em dia – um ataque claro e evidente contra a psique da vítima.

Alvos maiores
Nos últimos meses, vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de usuários individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como ele pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias.

Quando surgiu a notícia de uma “situação de emergência interna” que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC), o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas.

A rede e sistemas de computador do hospital, inclusive os que envolviam tomografias computadorizadas, exames de laboratório, farmacêuticos e documentação ficaram fora do ar por mais de uma semana, fazendo com que os funcionários voltassem ao uso de papel e caneta. Esse incidente também causou impacto nos sistemas de salas de emergência, obrigando-os a transferir pacientes para outros hospitais.

Segundo a Trend Micro até hoje, 50 novas famílias de ransomware já foram vistas apenas nos primeiros cinco meses de 2016. As com maior número de ocorrências são:

  • - CryptXXX V1, V2, V3 *
  • - TeslaCrypt V1, V2, V3, V4 **
  • - TeslaCrypt V2 **
  • - SNSLocker 
  • - AutoLocky 
  • - BadBlock 
  • - 777 
  • - XORIST 
  • - XORBAT 
  • - CERBER

O mais alarmante, no entanto, é o fato de que a ameaça ainda continua crescendo – em número e nível de eficácia.

Boas Práticas
Segundo a Trend Micro, os usuários finais podem se livrar do risco e prevenir-se e antecipar de ataques via ransomware adotando 3 práticas muito simples:

1- Evitar abrir e-mails não verificados ou clicar em links incorporados neles;

2- Fazer backup de arquivos importantes usando a regra do 3,2,1: crie 03 backups em 02 mídias diferentes com 01 backup em um local separado;

3- Atualizar regularmente seus sistemas para proteger contra as vulnerabilidades mais recentes. Certifique-se de que você está executando um sistema de suporte operacional moderno e com programas atualizados.

Já o  Relatório Semestral de Cibersegurança 2016, da Cisco, faz recomendações destinadas a proteger o negócio das empresas:

– Intensificar o monitoramento da rede: é importante efetuar a constante "limpeza" da rede, implementando patching, atualizando sistemas e instalando defesas no extremo da rede;

– Implementar defesas integradas: mediante uma aproximação a uma “arquitetura” de segurança face ao lançamento de soluções de nicho e dispersas.

– Medir o tempo de detecção: é vital procurar reduzi-lo para detectar ameaças e eliminá-las com rapidez, integrando essas métricas nas futuras políticas de segurança;

– Proteger os usuários: algo que deve ser feito independentemente do local onde trabalham, por oposição a proteger simplesmente os que estão ligados à rede localmente;

– Ter cópias de segurança de informação crítica: deve ser feita prova de eficácia, confirmando que os backups estão 100% salvaguardados.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui