O que são ataques de ransomware?

Como os ataques de ransomware funcionam?

Esta é uma sequência típica de ataque de ransomware:

Comprometimento inicial

Muitos ataques de ransomware começam com e-mails de phishing, muitas vezes disfarçados de mensagens de varejistas, bancos ou outras entidades confiáveis falando sobre atrasos nas entregas, compras fraudulentas, saldos baixos e assim por diante. Esses e-mails incluem arquivos ou links infectados que, quando abertos, inserem software malicioso no computador ou dispositivo móvel da vítima para iniciar um ataque.

Movimentação lateral

Depois que o malware infecta um dispositivo, o ataque se espalha. Se o dispositivo infectado estiver em uma rede, o malware tentará comprometer um controlador de domínio ou roubar credenciais que lhe permitam se mover lateralmente pela rede e infectar outros dispositivos.

Execução

O malware será executado assim que tiver acesso suficiente, exfiltrando e/ou roubando os dados da vítima. Por último, a vítima receberá um pedido de resgate, normalmente com um limite de tempo antes que os dados sejam vendidos, vazados ou tornem-se irrecuperáveis. Se a vítima pagar, ela deverá receber uma chave de descriptografia que lhe permitirá recuperar seus dados, mas isso nem sempre acontece – e mesmo quando acontece, nem sempre funciona.

Como os ataques de ransomware evoluíram?

O ransomware começou em 1989, quando os participantes de uma conferência internacional sobre Aids receberam disquetes de “Informações sobre Aids” carregados com um vírus trojan. Após reinicializar 90 vezes um sistema infectado, o trojan ocultava todos os diretórios, criptografava todos os arquivos no disco rígido infectado e exibia uma nota da “PC Cyborg Corporation” solicitando o pagamento de US$ 189 a um endereço no Panamá para restaurar o acesso.

A próxima onda de ataques cibernéticos do tipo ransomware ocorreu no início da década de 1990 com o “scareware”, assim chamado por usar técnicas de engenharia social baseadas no medo. Os computadores infectados exibiam uma mensagem de erro, seguida por uma oferta de compra e download de um software para corrigir o problema. É claro, o software era outro malware, muitas vezes projetado para roubar dados.

A ascensão do compartilhamento de arquivos popularizou uma categoria de ransomware chamada “police lockers”, “screen lockers” ou simplesmente “lockers”. Muitas vezes ocultos em sites que hospedam downloads ponto a ponto (P2P) ou conteúdo adulto, os lockers exibiam uma mensagem explicando que o sistema havia sido bloqueado (frequentemente citando uma autoridade policial ou agência governamental, como o FBI, suspeita de atividade ilegal, etc.) até que o usuário pagasse uma multa. Muitos lockers simplesmente restringiam o movimento do mouse e uma reinicialização do sistema poderia restaurar as funções normais, mas o medo levou muitas vítimas a pagar.

O vínculo entre ransomware e criptomoedas

No início, as demandas de resgate de usuários individuais normalmente atingiam algumas centenas de dólares. Além disso, os pagamentos de resgate eram geralmente feitos com cartões de pagamento comuns, tornando as transações muito mais fáceis de rastrear e os criminosos mais fáceis de capturar.

Atualmente, as inovações no crime cibernético e na tecnologia de criptomoedas ajudaram a explodir a popularidade do ransomware. Em particular, o bitcoin e outras criptomoedas, moedas digitais baseadas no anonimato e na criptografia, permitiram que os criminosos encobrissem seus rastros, tornando as transações quase indetectáveis.

Ransomware como serviço (RaaS)

As ferramentas de RaaS, geralmente baratas e baseadas em assinatura assim como produtos SaaS legais, são um subproduto dessa crescente popularidade e sucesso. Muitas estão prontamente disponíveis na dark web e permitem que até pessoas sem conhecimentos de programação iniciem um ataque cibernético e obtenham uma parte dos seus ganhos.

Ransomware de dupla extorsão

Eventualmente, melhorias na tecnologia de backup e descriptografia de dados começaram a favorecer as vítimas. Em resposta, em 2019, um grupo criminoso chamado TA2102 perpetrou o primeiro ataque de ransomware de dupla extorsão de alto perfil, criptografando e exfiltrando os dados da vítima antes de ameaçar vazá-los, a menos que fossem pagos US$ 2,3 milhões em bitcoins. Dessa forma, mesmo que a vítima tivesse conseguido restaurar seus dados, ainda sofreria uma grave violação de dados, a menos que pagasse.

Ransomware sem criptografia

Em 2022 e 2023, surgiu uma tendência insidiosa que redefiniu o ransomware em sua essência. Sendo ao mesmo tempo uma evolução e uma espécie de regressão, os ataques de ransomware sem criptografia não criptografam os arquivos das vítimas. Em vez disso, os invasores concentram-se apenas na exfiltração de dados sigilosos como forma de vantagem para extorsão.

As vítimas desses ataques tendem a estar em setores que lidam com PII altamente sigilosas, como os setores jurídico e de saúde. Como a sua principal preocupação é evitar o vazamento de dados sigilosos, muitas pagam o resgate, independentemente da criptografia dos dados. Como os dados não são criptografados, são mais rápidos e fáceis de recuperar, o que geralmente se traduz em pagamentos de resgate mais rápidos.

Tipos/exemplos de ataques de ransomware

Entre os inúmeros tipos de ransomware e grupos de ransomware, alguns dos mais comuns e bem conhecidos são:

• CryptoLocker: esse ransomware, caracterizado pela sua forte encriptação e enorme botnet, teve tanto sucesso em 2013 e 2014 que continua a inspirar ataques de imitadores.
• Dridex: um trojan proeminente conhecido por roubar credenciais bancárias por meio de e-mails de phishing, está associado a tipos de ransomware como WastedLocker, BitPaymer e DoppelPaymer.
• WannaCry: um criptoworm que tem como alvo o sistema operacional Microsoft Windows e impactou mais de 300 mil sistemas (e continua aumentando) em todo o mundo desde seu lançamento em 2017.
• NotPetya: surgindo logo após o WannaCry, o NotPetya inicialmente parecia ser um ransomware, mas na verdade era um “destructionware” virulento creditado ao grupo de hackers russo Sandworm.
• Ryuk: essa variante de ransomware tem sido associada a vários grupos que impactam setores como saúde, setor público e educação, especialmente os sistemas educacionais dos EUA.
• REvil: notório por violações nos setores jurídico, de entretenimento e público, o REvil lançou uma série de ataques entre maio de 2020 e outubro de 2021, incluindo o ataque ao servidor Kaseya VSA.
• DarkSide: essa variante, responsável pelo ataque de 2021 à Colonial Pipeline, é um dos exemplos mais famosos de ransomware de dupla extorsão. Este ataque é normalmente utilizado como serviço.
• GandCrab: o relatório Ransomware em um contexto global de 2021 da VirusTotal citou o GandCrab como o ataque de ransomware mais comum, respondendo por 78,5% das amostras coletadas para o relatório.

Quais são os sete principais vetores de ataque de ransomware?

Os operadores de ransomware estão sempre trabalhando para encontrar novas maneiras de inovar seus ataques, mas diversas estratégias se destacam como as mais populares (e eficazes) de se infiltrar em sistemas. Estes são os vetores de ataque de ransomware mais comuns:

• Phishing: e-mails enganosos ou mensagens semelhantes, geralmente carregadas de links ou anexos infectados, induzem os usuários a permitir a entrada de ransomware em seus sistemas.
• Downloads drive-by: os invasores exploram vulnerabilidades de software, sistema operacional ou navegador para permitir downloads furtivos de ransomware quando a vítima interage com sites ou links comprometidos.
• Vulnerabilidades de software: os invasores exploram pontos fracos em aplicativos ou sistemas, fornecendo-lhes pontos de entrada em uma rede, onde podem implantar ransomware diretamente.
• Sites maliciosos: os invasores criam sites falsos ou cópias que os usuários confundem com sites legítimos e que hospedam ransomware, induzindo os visitantes a baixá-los sob falsos pretextos.
• Ataques watering hole: os invasores comprometem sites legítimos usados pelas vítimas e, em seguida, usam engenharia social para induzir os visitantes a baixar ransomware.
• Ataques de protocolo de área de trabalho remota (RDP): os hackers obtêm acesso ilícito a conexões RDP, geralmente quebrando ou roubando credenciais de login, para implantar ransomware diretamente em uma rede visada.
• Malvertising (publicidade maliciosa): os invasores hospedam anúncios infectados em sites legítimos, que infectam os sistemas com ransomware quando as vítimas interagem com o anúncio.

Você deveria pagar o resgate?

A pergunta mais difícil de muitas vítimas de ransomware: “Pagar ou não pagar?”

Muitas organizações estão dispostas a pagar para proteger seus dados, mas será essa a decisão certa? Vários relatórios desde 2021 descobriram que cerca de 80% das organizações que o fazem ainda sofrem ataques repetidos. Além disso, como disse Brad Moldenhauer, CISO da Zscaler, “podemos argumentar que o pagamento de resgates digitais poderia ajudar e encorajar o terrorismo, e ele certamente faz isso para o crime cibernético”.

Também devemos considerar outros pontos de vista:

• Não há garantia de que você recuperará todos os seus dados – supondo que essa era a intenção do invasor (leia sobre o NotPetya).
• Em algumas circunstâncias e jurisdições, pagar um resgate é ilegal. Leia mais aqui.
• No caso de dupla extorsão, mesmo que os seus esforços de correção recuperem os dados, optar por não pagar significa permitir que os criminosos exponham os seus dados ao mundo.

Muitas vezes, a escolha se resume às circunstâncias individuais da sua organização, incluindo como suas operações, usuários e clientes são afetados por uma violação e a possibilidade de você não recuperar seus dados.

Quais são os efeitos do ransomware nos negócios?

O ransomware está afetando organizações de todos os tipos em todo o mundo, com mais ataques a cada ano, e pode ter efeitos negativos nas receitas, na opinião pública e mais.

Capital e/ou dados perdidos

Fazer a escolha entre perder dados ou perder dinheiro é um dilema perigoso, especialmente em setores que lidam com dados sensíveis. Se você ignorar as exigências de resgate, corre o risco de sofrer um vazamento de dados. E mesmo que você pague, não há garantia de que receberá seus dados de volta.

Danos à reputação

Pagando ou não, você é obrigado a denunciar o crime, o que pode gerar cobertura da mídia. Quando os ataques chegam aos noticiários, as organizações vítimas correm o risco de perder negócios, a confiança dos clientes ou ambos, mesmo que as próprias organizações não tenham culpa.

Repercussões legais

Em um número crescente de estados dos EUA, pagar um resgate é ilegal na maioria dos casos, e outras jurisdições em todo o mundo estão considerando o mesmo. Além disso, uma violação pode resultar em escrutínio regulamentar adicional, o que pode gerar multas e outros custos legais.

Etapas necessárias para remover o ransomware

O ransomware pode ser superado, mas é preciso dar um passo de cada vez:

Passo 1: isole os dispositivos infectados, desconectando-os de quaisquer conexões com ou sem fio (até mesmo desconectando-os da energia elétrica, se necessário) para ajudar a impedir a propagação da infecção por ransomware. Se você descobrir o ransomware antes de ser executado, poderá removê-lo do sistema antes que o invasor possa exigir o resgate.

Passo 2: descubra o que você está enfrentando e se existe uma ferramenta de descriptografia que pode ajudar a recuperar dados criptografados. Entretanto, você não deve contar com isso. Os descriptografadores costumam ser ineficazes contra ransomwares sofisticados e não ajudam muito em casos de dupla extorsão.

Passo 3: recupere seus dados perdidos, geralmente restaurando-os a partir de um backup. Manter backups frequentes é a única maneira de garantir que você possa recuperar todos os seus dados depois de criptografados. Se por algum motivo você não conseguir recuperar seus dados, considere cuidadosamente as possíveis consequências legais e financeiras antes de cumprir qualquer exigência de resgate.

Passo 4: remova o ransomware com a ajuda de um profissional de segurança, que deverá realizar uma investigação completa da causa-raiz para determinar a vulnerabilidade que permitiu o ataque.

Passo 5: avalie a causa da infecção e tome medidas para reforçar as falhas das suas defesas, seja uma exploração de backdoor, um defeito na filtragem de e-mail, falta de treinamento suficiente do usuário ou qualquer outra coisa. Ataques repetidos podem acontecer e acontecem, e você pode se preparar melhor.

A prevenção contra ransomware é fundamental

A realidade é que, uma vez que seus dados são criptografados ou exfiltrados, de uma forma ou de outra, você perde. É por isso que a prevenção é a verdadeira chave para a defesa contra ransomware.

Impedir todos os ataques de ransomware que surgem é provavelmente impossível, mas com a devida diligência, treinamento de conscientização em segurança cibernética e a tecnologia certa, você pode minimizar os riscos. Você precisa de uma estratégia anti-ransomware eficaz, incluindo princípios e ferramentas que:

• Usem uma sandbox controlada por IA para colocar em quarentena e inspecionar conteúdos suspeitos
• Inspecionem todo o tráfego criptografado em TLS/SSL
• Implementem proteções sempre ativas seguindo as conexões fora da rede

A combinação de soluções modernas com uma abordagem de defesa proativa é amplamente considerada o modelo de proteção contra ransomware mais eficaz do atual manual de segurança cibernética.

Como a Zscaler pode ajudar

A Zscaler oferece proteção contra ransomware nativa da nuvem para proteger as organizações contra ransomware por meio da Zscaler Zero Trust Exchange™, uma plataforma que:

Usa uma sandbox controlada por IA para quarentena

A Zscaler pode colocar em quarentena e analisar completamente arquivos suspeitos ou nunca vistos antes da entrega, eliminando virtualmente os riscos de infecção de paciente zero. Em contraste com as abordagens de passagem herdadas, esses arquivos não chegarão ao seu ambiente a menos que sejam considerados seguros.

Uma solução nativa da nuvem e baseada em IA como a Zscaler Sandbox (parte da Zero Trust Exchange) oferece mais benefícios do que as soluções antivírus/antimalware legadas, incluindo:

• Controle total sobre as ações de quarentena, com políticas granulares definidas por grupos, usuários e tipos de conteúdo
• Decisões de segurança em tempo real com aprendizado de máquina sobre arquivos desconhecidos
• Downloads de arquivos rápidos e seguros, com marcação para quarentena de todos os arquivos identificados como maliciosos

Inspeciona todo o tráfego criptografado

A Zscaler opera uma arquitetura de proxy nativa da nuvem que permite executar inspeção de TLS/SSL em larga escala sem se preocupar com as limitações de desempenho de dispositivos caros. 

Utilizando uma nuvem global distribuída em mais de 150 data centers em seis continentes, a tecnologia de nuvem da Zscaler inspeciona minuciosamente o tráfego em TLS/SSL em busca de ameaças de ransomware ocultas sem perder desempenho, mesmo se a largura de banda dos usuários aumentar drasticamente.

Segue as conexões fora da rede

A Zero Trust Exchange oferece sandbox baseado em IA e inspeção de TLS/SSL para usuários em qualquer lugar, em qualquer dispositivo. Cada conexão, em qualquer rede, obtém proteção idêntica para descobrir e impedir ameaças conhecidas e desconhecidas, mantendo sua organização livre de infeções de ransomware de paciente zero.

Essa abordagem para se prevenir contra ransomware começa com a proteção das conexões dos usuários. Os usuários fora da rede simplesmente adicionam o Zscaler Client Connector, nosso agente de terminais leve, aos seus laptops ou dispositivos móveis (com suporte para Android, iOS, macOS e Windows) para aproveitar a proteção das mesmas ferramentas, aplicação de políticas e controles de acesso que teriam na sede da empresa.