O que é ransomware? Tudo o que você precisa saber e como reduzir seu risco

O que é ransomware? Tudo o que precisas de saber e como reduzir o teu risco

Ransomware, conceito. Hacker anônimo segura chave e exige dinheiro. Usuário dá dinheiro. Pasta grande com dados criptografados. Cadeado nos arquivos após ataque do hacker. Perigo de pirataria de rede.

O ransomware é uma das ameaças mais perigosas que empresas e consumidores enfrentam atualmente. Seja você um indivíduo ou uma empresa Fortune 500, a experiência de ser bloqueado em seu sistema, ter seus arquivos criptografados e ser alvo de ameaças e exigências de pagamento pode ser angustiante.

Recursos Especiais

Melhores Práticas de Cibersegurança para Proteger seus Ativos Digitais

Encare isso: seus dados pessoais e empresariais estão sob ameaça 24/7 – e proteger esses ativos digitais enquanto você compra, faz transações bancárias e joga online continua sendo a principal preocupação. Aqui está a boa notícia: existem mais ferramentas e estratégias focadas em segurança disponíveis do que nunca. Os guias de cibersegurança mais atualizados da ENBLE fornecem dicas práticas para se manter seguro e produtivo hoje, em meio ao cenário de ameaças em constante evolução de amanhã.

Enquanto as autoridades policiais e empresas de cibersegurança lutam contra o aumento dos grupos de ransomware, esse negócio extremamente lucrativo e ilegal está florescendo. Novas gangues de ransomware surgem todos os dias, enquanto as mais estabelecidas trocam de nome e se reorganizam para confundir os esforços de rastreamento e investigação dos perpetradores.

Aqui está tudo o que você precisa saber sobre ransomware, como ele funciona e o que você pode fazer para mitigar o risco de ataque.

O que é ransomware?

Ransomware é um dos maiores problemas de cibersegurança na internet e uma das principais formas de cibercrime que as organizações enfrentam atualmente. Ransomware é uma forma de software malicioso – malware – que criptografa arquivos e documentos desde um único PC até toda uma rede, incluindo servidores.

Uma vez que os arquivos são criptografados pelo ransomware, as vítimas têm poucas opções: elas podem recuperar o acesso à sua rede criptografada pagando um resgate aos criminosos por trás do ataque. Elas podem restaurar os dados de seus backups. Elas podem esperar que haja uma chave de descriptografia disponível gratuitamente. Ou podem começar novamente do zero.

Algumas infecções de ransomware começam com alguém dentro de uma organização clicando em um anexo que parece inofensivo, mas que, quando aberto, faz o download da carga maliciosa e criptografa a rede.

Um exemplo de ataque de ransomware.

Outras campanhas de ransomware, muito maiores, usam exploits e falhas de software, senhas quebradas e outras vulnerabilidades para ganhar acesso a organizações por meio de pontos fracos, como servidores expostos à internet ou logins de desktop remotos. Os atacantes irão procurar secretamente através da rede até controlarem o máximo possível, antes de criptografarem tudo o que podem.

Pode ser um pesadelo para empresas de todos os tamanhos se arquivos e documentos vitais, redes ou servidores forem repentinamente criptografados e inacessíveis. Ainda pior, depois de ser atacado com ransomware que criptografa arquivos, os criminosos anunciam descaradamente que estão mantendo seus dados corporativos como reféns até que você pague um resgate para recuperar os dados. Alguns até mesmo publicam os dados roubados na internet para que todos vejam.

Como o ransomware evoluiu?

Embora o ransomware tenha explodido nos últimos anos, não é um fenômeno novo: a primeira instância do que agora chamamos de ransomware apareceu já em 1989.

Conhecido como AIDS ou o Trojan PC Cyborg, o vírus era enviado para as vítimas em um disquete. O ransomware contava o número de vezes que o PC era inicializado: assim que atingisse 90, ele criptografava a máquina e os arquivos nela e exigia que o usuário “renovasse sua licença” com a ‘PC Cyborg Corporation’, enviando $189 ou $378 para uma caixa postal no Panamá.

A demanda de pagamento do PC Cyborg – por correio tradicional.

Esse ransomware inicial era uma construção relativamente simples, usando criptografia básica que apenas alterava os nomes dos arquivos, tornando relativamente fácil de superar.

No entanto, isso efetivamente criou uma nova forma de crime cibernético que cresceu gradualmente em escopo e ambição. Assim que a internet discada se tornou disponível para os consumidores, o ransomware básico apareceu em massa.

Uma das variantes mais bem-sucedidas foi o “ransomware policial”, que tentava extorquir as vítimas, alegando que o PC tinha sido criptografado pela polícia. Ele bloqueava a tela com um aviso de resgate, alertando o usuário de que ele havia cometido atividade ilegal online, o que poderia levá-lo à prisão.

No entanto, se a vítima pagasse uma multa, a “polícia” deixaria a infração passar e restauraria o acesso ao computador entregando a chave de descriptografia. Claro, isso não tinha nada a ver com a aplicação da lei – eram criminosos explorando pessoas inocentes.

Um exemplo de “ransomware policial” ameaçando um usuário.

Os criminosos aprenderam com essa abordagem e agora a maioria dos esquemas de ransomware usa criptografia avançada para bloquear um PC infectado e os arquivos nele.

Quais são os principais tipos de ransomware?

O ransomware está sempre evoluindo, com novas variantes surgindo continuamente e representando novas ameaças às empresas. No entanto, certos tipos de ransomware foram muito mais bem-sucedidos do que outros.

  • O WannaCry, da Coréia do Norte, foi utilizado em um dos maiores ataques de ransomware até hoje. Em 2017, o ransomware causou caos em todo o mundo, com mais de 300.000 vítimas em mais de 150 países.
  • O Locky já foi a forma mais notória de ransomware, criando estragos em organizações em todo o mundo durante todo o ano de 2016, disseminado por meio de e-mails de phishing.
  • Uma das famílias de ransomware mais prolíficas durante 2021 foi a REvil, responsável pela criptografia das redes de um grande número de organizações de alto perfil.
  • O Conti, assim como a REvil, combina a criptografia de redes com ameaças de publicação de dados para extorquir pagamentos de resgate. A Agência de Cibersegurança e Infraestrutura dos EUA (CISA) está entre aquelas que emitiram alertas sobre os ataques prolíficos de ransomware Conti, que estão em andamento e já até afetaram serviços de saúde e hospitais.
  • O Cerber já foi popular como um dos primeiros modelos de ‘Ransomware-as-a-Service’ (RaaS), permitindo que usuários sem conhecimentos técnicos realizem ataques em troca de parte dos lucros para os autores originais.

O ransomware pode assumir muitas variações, mas, em sua essência, o ransomware é projetado para impedir o acesso ao sistema e aos arquivos. Alguns ransomware podem se movimentar lateralmente pela rede, criptografar dados – ou destruí-los – e também podem incluir módulos de vigilância.

Embora as operações de ransomware venham e vão, as pessoas envolvidas na construção e teste do malware frequentemente mudam entre elas ou buscam novas oportunidades, o que significa que há um fluxo constante de novas variantes de ransomware que podem se tornar a próxima grande ameaça.

Quais foram os principais ataques de ransomware em 2023?

  • Dish Network: Um ataque em fevereiro contra a gigante de transmissão Dish Network causou interrupções nos serviços e a exposição dos dados de aproximadamente 300.000 pessoas. A empresa supostamente pode ter pago um resgate, pois uma carta enviada às pessoas afetadas revelou que a empresa “recebeu a confirmação de que os dados extraídos foram excluídos”.
  • Royal Mail: O serviço de entrega do Reino Unido, Royal Mail, recebeu uma demanda de resgate de $80 milhões após um ataque em janeiro que interrompeu severamente as entregas, nacional e internacionalmente. Os funcionários da empresa se recusaram a pagar.
  • Caesars: A operadora de cassinos Caesars sofreu um ataque de ransomware e vazamento de dados, incluindo o roubo de dados de clientes. Relatos sugerem que a empresa pagou aproximadamente metade de um resgate de $30 milhões.
  • MGM Resorts: Os atacantes por trás de um caótico ataque de ransomware contra MGM Resorts – que forçou muitos serviços a ficarem offline, incluindo sistemas de ponto de venda – afirmaram que conseguiram obter as credenciais necessárias para realizar o ataque com apenas uma ligação telefônica. Tudo, desde máquinas caça-níqueis até cartões de quarto, parou de funcionar.

Quanto custará um ataque de ransomware para você?

Obviamente, o custo mais imediato associado a ser infectado por ransomware – se ele for pago – é o resgate exigido, que pode depender do tipo de ransomware ou do tamanho da sua organização.

Os ataques de ransomware podem variar em tamanho, mas está se tornando cada vez mais comum que grupos de hackers exijam milhões de dólares para restaurar o acesso à rede. E o motivo pelo qual eles podem exigir tanto dinheiro é simplesmente porque muitas vítimas pagam.

Isso é especialmente verdadeiro se um bloqueio da rede por ransomware significa que a organização não pode fazer negócios – ela pode perder grandes quantias de receita por cada dia, talvez a cada hora, em que a rede estiver indisponível. Essa inatividade pode resultar rapidamente em milhões de dólares em perdas.

Além disso: Diante da probabilidade de ataques de ransomware, empresas ainda optam por pagar

Se uma organização escolher não pagar o resgate, ela não apenas perderá receita por um período de tempo que pode durar semanas, talvez meses, mas também terá que pagar uma grande quantia para uma empresa de segurança entrar e restaurar o acesso à rede, e também podem haver repercussões legais caras.

De qualquer maneira, a organização lidar com um ataque de ransomware, o incidente também terá um impacto financeiro futuro, pois, para se proteger contra se tornar uma vítima novamente, a organização precisará investir em sua infraestrutura de segurança e lidar com custos legais, possíveis ações coletivas e multas regulatórias.

Além de tudo isso, também há o risco de os clientes perderem a confiança na organização devido à fraca segurança cibernética, com os clientes levando seus negócios para outro lugar.

O pagamento do resgate é desencorajado pela segurança cibernética e pelas autoridades policiais, porque incentiva os criminosos cibernéticos a continuarem lançando campanhas de ransomware. Existem até casos em que uma vítima pagou um resgate, apenas para que os mesmos atacantes retornassem com outro ataque e exigissem outro pagamento de resgate.

Qual foi o maior pagamento de resgate de ransomware?

Até o momento, o maior pagamento de resgate de ransomware foi feito pela CNA Financial, uma das principais seguradoras dos EUA. A organização teria pagado US$ 40 milhões depois de se tornar vítima de um ataque de ransomware.

Por que as organizações devem se preocupar com ransomware?

Para simplificar: Ransomware pode destruir seu negócio. Ficar impedido de acessar seus próprios arquivos por malwares, mesmo que seja apenas por um dia, afetará sua receita. Mas, dado que o ransomware mantém a maioria das vítimas offline por pelo menos uma semana, ou às vezes meses, as perdas podem ser significativas. Os sistemas podem permanecer offline por tanto tempo, não apenas porque o ransomware bloqueia o sistema, mas devido a todo o tempo e esforço necessários para limpar e restaurar as redes.

E não é apenas o impacto financeiro imediato do ransomware que prejudicará um negócio; os consumidores se tornam cautelosos ao fornecerem seus dados a empresas que consideram serem inseguras.

Além disso: Ransomware e ataques de phishing continuam a afetar essas empresas

Os criminosos cibernéticos aprenderam que empresas não são apenas alvos lucrativos para ataques de ransomware, mas infraestruturas importantes, como hospitais e instalações industriais, também estão sendo afetadas por ransomware. E tais interrupções podem ter grandes consequências para as pessoas.

O setor de educação também se tornou um alvo cada vez mais popular para campanhas de ransomware. Escolas e universidades passaram a depender do ensino remoto devido à pandemia de coronavírus – e os criminosos cibernéticos perceberam isso. Essas redes de educação são usadas por potencialmente milhares de pessoas, muitas usando seus dispositivos pessoais, e tudo o que pode ser necessário para que um hacker mal-intencionado tenha acesso à rede é um email de phishing bem-sucedido ou a quebra da senha de uma conta.

Por que pequenas empresas são alvos de ransomware?

As pequenas e médias empresas são alvos populares porque tendem a ter uma segurança cibernética pior do que as grandes organizações. Apesar disso, muitas SMBs acreditam erroneamente que são muito pequenas para serem alvos – mas mesmo um resgate modesto de algumas centenas de dólares ainda é altamente lucrativo para criminosos cibernéticos.

Pequenas empresas e alvos fáceis também podem ser tentadores porque os ataques de cadeia de suprimentos podem fornecer acesso a um alvo maior e mais lucrativo.

Por que o ransomware é tão bem-sucedido?

Existe uma razão fundamental pela qual o ransomware cresceu: porque funciona. Tudo o que é necessário para o ransomware entrar em sua rede é um usuário cometer um erro e abrir um anexo de e-mail malicioso, uma senha fraca ser quebrada ou um negócio deixar software vulnerável sem atualização.

Se as organizações não cedessem às exigências de resgate, os criminosos passariam para outra coisa.

Também: Microsoft: Estamos rastreando essas 100 gangues de ransomware ativas usando 50 tipos de malware

Enquanto isso, para os criminosos, é uma maneira fácil de ganhar dinheiro. Por que perder tempo e esforço desenvolvendo um código complexo ou gerando cartões de crédito falsos a partir de dados bancários roubados, se o ransomware pode resultar em pagamentos instantâneos com pouca chance de processo posterior?

O seguro cibernético pode ajudar?

O seguro cibernético é uma apólice projetada para ajudar a proteger as organizações das consequências de ataques cibernéticos.

Algumas apólices de seguro cibernético cobrirão o pagamento do resgate em si – o que levou alguns especialistas em segurança cibernética a alertar que os pagamentos de seguro cibernético que cobrem o custo de pagar resgates estão contribuindo para o problema, porque os criminosos cibernéticos sabem que se atingirem o alvo certo, receberão dinheiro.

No primeiro semestre de 2023, a Coalizão descobriu que o aumento de reivindicações de seguro cibernético era impulsionado por ransomware, com um aumento de 12% em relação ao ano anterior.

Também: PMEs não veem necessidade de seguro cibernético, pois não enfrentarão incidentes de segurança

No entanto, um aumento nas reivindicações – e o potencialmente alto custo de pagamento – levou alguns provedores de seguro cibernético a excluir ataques de ransomware das políticas.

O que as criptomoedas têm a ver com o aumento do ransomware?

A ascensão das criptomoedas como o Bitcoin facilitou para os criminosos cibernéticos receberem pagamentos com menos risco de as autoridades conseguirem identificar e rastrear os perpetradores.

As carteiras digitais são usadas para armazenar criptomoedas e, embora não sejam inrastreáveis, isso torna mais difícil rastrear e apreender fundos ilegais, especialmente se os fundos criptográficos forem misturados e filtrados por várias carteiras e bolsas de criptomoedas.

Muitos grupos de ransomware oferecem “atendimento ao cliente” para ajudar vítimas que não sabem como adquirir ou enviar criptomoedas, porque qual é o objetivo de fazer exigências de resgate se os usuários não sabem como pagar?

Exigência de resgate do Globe3 por três Bitcoins – incluindo um guia “como fazer” para aqueles que não sabem como comprá-las.

Como evitar um ataque de ransomware?

Porque um grande número de ataques de ransomware começa com hackers explorando portas sem proteção voltadas para a internet e protocolos de desktop remoto, uma das principais coisas que uma organização pode fazer para evitar ser vítima é garantir que as portas não sejam expostas à internet quando não precisarem ser.

Quando portas remotas são necessárias, as organizações devem garantir que as credenciais de login sejam complexas. Aplicar autenticação de fator múltiplo nessas contas também pode atuar como uma barreira contra ataques, pois haverá um alerta se houver alguma tentativa de acesso não autorizado.

As redes devem ser atualizadas com as últimas atualizações de segurança pois muitas formas de ransomware – e outros malwares – são propagadas através do uso de vulnerabilidades comuns e conhecidas.

Quando se trata de parar ataques através de e-mails, os gerentes devem fornecer treinamento aos funcionários sobre como identificar e-mails suspeitos. Funcionários que perceberem detalhes incomuns – digamos, um e-mail com formatação irregular ou uma mensagem que pretende ser da ‘Microsoft Security’ enviada por um endereço obscuro que nem mesmo contém a palavra Microsoft – podem salvar as redes de infecções.

Também: 6 regras simples de cibersegurança que você pode aplicar agora

Também é valioso permitir que os funcionários aprendam com seus erros em um ambiente seguro e através de exercícios de treinamento contra phishing.

Em um nível técnico, impedir que os funcionários habilitem macros já é um grande passo para garantir que eles não possam executar um arquivo de ransomware inadvertidamente. A proteção do endpoint, juntamente com firewalls e soluções de detecção de anomalias comportamentais, também podem ajudar.

No mínimo, os empregadores devem investir em software antivírus e mantê-lo atualizado, para que ele possa alertar os usuários sobre arquivos potencialmente maliciosos. Fazer backup de arquivos importantes e garantir que esses arquivos não possam ser comprometidos durante um ataque também é fundamental, pois isso torna possível recuperar a rede sem pagar resgate.

Mas mesmo que os ataques já estejam dentro da rede, ainda não é tarde demais – se as equipes de segurança da informação conseguirem detectar atividades incomuns ou suspeitas antes que o ataque de ransomware seja lançado, é possível reduzir o alcance do ataque ou impedí-lo por completo.

Quanto tempo leva para se recuperar de um ataque de ransomware?

Simplesmente falando, ransomware pode paralisar uma organização inteira – uma rede criptografada é mais ou menos inútil, e não há muito que possa ser feito até que os sistemas sejam restaurados.

Se uma empresa tiver backups, os sistemas podem estar online novamente no tempo que levar para restaurar a funcionalidade da rede, embora, dependendo do tamanho da empresa, isso possa levar algumas horas a dias.

No entanto, embora seja possível recuperar a funcionalidade a curto prazo, às vezes pode levar meses para que as organizações tenham todos os seus sistemas novamente em operação.

Também: Os principais serviços de armazenamento em nuvem

Além do impacto imediato que o ransomware pode ter em uma rede, o incidente pode resultar em prejuízos financeiros contínuos. Qualquer período de tempo offline é prejudicial para os negócios, pois significa que a organização não pode fornecer o serviço que se propõe a oferecer e não pode ganhar dinheiro. Mas quanto mais tempo o sistema fica offline, maior será esse impacto.

E isso presumindo que seus clientes desejem continuar fazendo negócios com você: em alguns setores, o fato de ter sido vítima de um ciberataque pode afastar os clientes.

Como remover ransomware?

A iniciativa ‘No More Ransom’, lançada em julho de 2016 pela Europol e pela Polícia Nacional Holandesa em colaboração com várias empresas de cibersegurança, oferece ferramentas gratuitas de descriptografia para variantes de ransomware para ajudar as vítimas a recuperar seus dados criptografados sem ceder à vontade dos cibercriminosos.

Disponível em dezenas de idiomas e agora oferecendo numerosas ferramentas de descriptografia de ransomware, o programa está constantemente adicionando mais ferramentas para novas variantes de ransomware.

Também: Segurança cibernética 101: Tudo sobre como proteger sua privacidade e se manter seguro online

As empresas de segurança também lançam regularmente ferramentas de descriptografia para combater a evolução contínua do ransomware – muitas dessas empresas publicarão atualizações sobre essas ferramentas em seus blogs assim que conseguirem decifrar o código.

Outra maneira de contornar uma infecção por ransomware é garantir que sua organização faça backups regulares dos dados offline. Pode levar algum tempo para transferir os arquivos de backup para uma nova máquina, mas se um computador estiver infectado e você tiver backups, é possível isolar essa unidade e continuar com seus negócios. Apenas certifique-se de que os cibercriminosos não consigam criptografar seus backups também.

Devo pagar o resgate?

Há aqueles que aconselham as vítimas a simplesmente pagar o resgate, citando ser a maneira mais rápida e fácil de recuperar seus dados criptografados. E muitas organizações realmente pagam, mesmo que as agências de aplicação da lei desaconselhem.

Mas cuidado: se descobrirem que sua organização é um alvo fácil para cibercriminosos porque pagou um resgate, você pode se tornar alvo de outros cibercriminosos que buscam aproveitar sua segurança fraca. E lembre-se de que você está lidando com criminosos aqui e sua própria natureza significa que eles podem não cumprir sua palavra: não há garantia de que você receberá a chave de descriptografia, mesmo que eles a tenham. A descriptografia nem sempre é possível.

O ransomware pode infectar seu smartphone?

Absolutamente. Os ataques de ransomware contra dispositivos Android aumentaram consideravelmente, à medida que os cibercriminosos percebem que muitas pessoas não estão cientes de que os smartphones podem ser atacados e que os conteúdos (muitas vezes mais pessoais do que o que guardamos em PCs) podem ser criptografados para resgate por código malicioso. Várias formas de ransomware para Android surgiram para atormentar usuários de dispositivos móveis.

Na verdade, qualquer dispositivo conectado à internet é um alvo em potencial para ransomware.

O ransomware pode infectar a Internet das Coisas?

A Internet das Coisas já tem uma má reputação em termos de segurança. À medida que cada vez mais desses dispositivos conectados chegam ao mercado, eles fornecerão bilhões de novos vetores de ataque para cibercriminosos, potencialmente permitindo que hackers prendam sua casa conectada ou seu carro conectado como reféns. Um arquivo criptografado é uma coisa, mas e se você encontrar um bilhete de resgate exibido na sua geladeira inteligente ou no painel do seu carro?

Também: Os melhores dispositivos domésticos inteligentes, testados e avaliados

Até mesmo a possibilidade de hackers infectarem dispositivos médicos e colocarem vidas em risco.

À medida que o ransomware continua a evoluir, é crucial que seus funcionários entendam a ameaça que ele representa e que as organizações façam tudo o que for possível para evitar a infecção, pois o ransomware pode ser devastador e a descriptografia nem sempre é uma opção.

Como assistir ‘Pedro e o Lobo’ ...
Futebol da Quinta à noite Como assistir, tr...
Como adicionar uma verificação gramatical a...
Como usar assistentes de voz em sua casa
Apple lança o Safari Technology Preview 181...
9 principais ameaças de segurança móvel e c...
Reviews

Reviews