Ransomware
Sabe aquela rotina de pegar o celular, conferir a caixa de e-mail ou embarcar nos aplicativos do trabalho? Mas desta vez você se depara com uma mensagem estranha: “Estou com os seus dados e você não pode acessar nada. Pague um resgate ou arrisque para ver as consequências”.
Esse é o mundo do ransomware, uma forma de ataque cibernético que pode prejudicar pessoas comuns e organizações inteiras.
O que é ransomware?
Se você nunca passou por isso, saiba que o risco existe, especialmente hoje, com a crescente utilização de celulares nos âmbitos pessoal e profissional.
Definição e explicação do que é ransomware
Como outras formas de softwares mal-intencionados (também conhecidos como malware), o ataque de ransomware começa pela transposição das defesas do seu dispositivo ou da sua rede.
Em vez de simplesmente roubar dados, os criminosos criptografam os arquivos da vítima e a impedem de usar o dispositivo.
Em seguida, eles cobram um resgate para restabelecer o acesso ao dispositivo e descriptografar os arquivos. Caso a vítima se recuse a pagar, há ameaças de roubo, vazamento ou até exclusão dos dados.
A mensagem normalmente especifica como pagar o resgate, por exemplo, por uma conta de e-mail anônima, e se é necessário usar uma criptomoeda, como o Bitcoin, ou outra forma de pagamento.
Estima-se que, só em 2023, o mundo tenha visto 4.399 ataques de ransomware, com pagamentos que ultrapassaram a casa dos US$ 1 bilhão pela primeira vez.
Tipos comuns de ransomware
A proteção contra esses ataques começa por entender que eles podem acontecer de diferentes formas, por exemplo:
- Scareware: engana as possíveis vítimas ao informar que um vírus infectou o dispositivo ou simplesmente lota a tela com notificações pop-up. Um link para “resolver” o problema leva as vítimas à cobrança do resgate e às instruções de pagamento.
- Criptografadores: essa forma de ataque foi o exemplo usado na introdução deste post, no qual o pagamento do resgate é a única maneira de obter a chave de descriptografia para retomar o acesso aos dados e arquivos.
- Lockers: como o nome sugere, os lockers não necessariamente criptografam os dados da vítima, mas assumem o controle do sistema operacional do dispositivo a fim de impossibilitar o acesso ao que quer que esteja nele.
- Leakware: também chamado de doxware, esse ataque ameaça publicar ou expor dados que poderiam ser constrangedores ou de alguma forma danosa à vítima. Costuma ser uma forma de encriptador.
- Ransomware como serviço (RaaS): seguindo o modelo de software como serviço (SaaS), os criminosos usam ferramentas ou tecnologias proprietárias para coordenar ataques em nome de outra pessoa.
Como ransomwares infectam sistemas ou dispositivos
A maneira mais fácil para a maioria dos criminosos é pelo elemento humano. A maioria dos usuários é vulnerável demais a manipulações que ajudam agentes mal-intencionados a burlar defesas, especialmente em situações em que é preciso tomar decisões rápidas.
Os criminosos podem enviar mensagens de phishing por e-mail ou SMS, por exemplo, que parecem vir de alguém ou de uma organização conhecida. Basta clicar em um link dessas mensagens para que o ataque seja deflagrado. Há o mesmo risco quando clicamos em anúncios que iniciam ataques de ransomware, ou quando acessamos páginas que servem de isca para vítimas.
Em outros casos, a infecção por ransomware pode acontecer por meio de aplicativos com protocolo de desktop remoto (RDP, na sigla em inglês) que oferecem pouca segurança do terminal ou que são protegidos por senhas fracas. Alguns ataques podem começar ainda por ligações ou chats que levam colaboradores a compartilhar credenciais de segurança.
Estágios de um ataque de ransomware
O ataque se dá rapidamente, mas normalmente há uma série de etapas para que o sequestro dos dados e do dispositivo se concretize.
Visão geral dos diferentes estágios de um ataque de ransomware
Digamos que um colaborador tenha clicado em um link presente em um e-mail de phishing. Essa ação dá início à comunicação entre os dispositivos infectados e o servidor de comando e controle (C&C).
Dependendo do ataque, os criminosos podem tentar infectar outras máquinas antes de criptografar os arquivos.
Em seguida, inicia-se a extorsão, quando as vítimas são informadas de que estão sendo atacadas e sobre os termos do resgate.
Se o pagamento não for efetuado, a única forma de solucionar o ataque é contar com o auxílio das autoridades e acionar sistemas de backup, se houver.
Métodos usados por criminosos para explorar vulnerabilidades
Além de sites e mensagens que enganam usuários, os criminosos podem perpetrar ataques de força bruta, nos quais tentam acessar sistemas da empresa adivinhando senhas.
Alguns buscam aplicativos que não foram atualizados com os patches mais recentes de segurança. Há também ataques internos, nos quais hackers ou ex-colaboradores ajudam a invadir a rede de uma organização.
Impacto e consequências de um ataque de ransomware bem-sucedido
Mais do que frustração e chateação, o sequestro de dados e aplicativos gera pânico em toda a força de trabalho de uma organização. Caso a solução não seja rápida, esse mesmo medo e sensação de incerteza podem se alastrar externamente, prejudicando a experiência de consumidores e cidadãos.
Para muitos líderes, a maior preocupação está relacionada aos prejuízos, e há um bom motivo para isso. Talvez só seja possível vender produtos ou serviços após o pagamento do resgate, e operações diárias, como a gestão da folha de pagamentos, podem ser seriamente afetadas.
Proteção com ransomware e resposta a ataques
Por mais desafiadores que esses tipos de ataques sejam, qualquer organização pode ser proativa na redução da probabilidade de ter seus dados ou sistemas sequestrados. Basta pensar nas possíveis áreas de risco da organização e saber o que será feito no pior cenário possível.
Práticas recomendadas para se proteger contra ataques de ransomware
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA, na sigla em inglês) tem um guia #StopRansomware que sugere o monitoramento rotineiro contra ataques como um guarda que toma conta do perímetro de um edifício. Esse monitoramento pode incluir a atenção às vulnerabilidades de softwares, o estudo de áreas que merecem um estímulo à conscientização dos colaboradores e o uso das versões mais recentes de antivírus.
Em seguida, vale a pena estabelecer o que se conhece como uma arquitetura “zero trust”, a fim de garantir que o acesso aos dados e sistemas seja concedido apenas a quem precisa dele. Pode ser interessante repensar o uso de tecnologias como o protocolo RDP.
Políticas robustas – especialmente as que abordam a criação de senhas e o gerenciamento de credenciais – também podem ser uma boa forma de evitar incidentes.
A importância da regularidade de backups e de estratégias de recuperação de dados
Dá para remover ransomwares? Em alguns casos, sim, mas esse processo pode ser bem complexo. Quando criminosos têm acesso às únicas cópias dos arquivos da vítima, eles desfrutam de uma vantagem muito maior do que quando há backups.
Mesmo que o vazamento de arquivos criptografados cause um grande estrago, os backups agilizam a retomada das operações e ajudam as autoridades a resolver os incidentes de segurança.
Em alguns setores, os backups acontecem diariamente ou a cada hora. Há também prestadores de serviços especializados em criar e armazenar backups em um local externo, disponíveis para acesso em caso de emergência.
O que fazer caso um ataque de ransomware seja bem-sucedido
Muitas organizações conduzem simulações de incêndio para que todos saibam como abandonar um local em segurança caso seja necessário. Da mesma forma, vale a pena criar um plano de resposta a incidentes cibernéticos, com funções, responsabilidades e prazos, para diminuir o pânico caso ocorra um ataque.
Um guia da Cyber Management Alliance reúne princípios gerais que ajudam a dar os primeiros passos nessa jornada, tais como: identificar rapidamente quando o ataque aconteceu; isolar os dispositivos e sistemas afetados para conter o potencial de danos; e informar o departamento jurídico e as autoridades. Também pode ser interessante rascunhar comunicados a serem enviados a clientes, fornecedores e outros stakeholders.
Variantes famosas de ransomware
Como acontece em empresas de softwares lícitas, os criminosos estão sempre desenvolvendo novas versões de seus malwares, também conhecidas como variantes, que podem dificultar a detecção de um ataque ou causar danos mais graves.
Visão geral de variantes famosas de ransomware e suas características
O CryptoLocker nasceu por volta de 2013 e se espalha por anexos de e-mail. Seu uso pioneiro de uma infraestrutura de servidores de comando e controle e criptografia forte possibilitou que seus supostos desenvolvedores russos infectassem centenas de milhares de máquinas.
O WannaCry se tornou uma das variantes mais famosas em 2017, criptografando dados em sistemas operacionais Windows. Relatórios sugerem que o WannaCry permanece ativo, e seu código-fonte original jamais foi encontrado.
Mais recentemente, o LockBit surgiu por volta de 2019 e ganhou fama por licenciar seu código para uma equipe de afiliados que ajudam a perpetrar os ataques. O LockBit também executa ataques de negação de serviço distribuído (DDoS), além de sequestrar os dados.
Ataques famosos de ransomware e seus impactos
A Sony Pictures Entertainment foi uma das muitas grandes empresas a sofrer um ataque de ransomware, em 2014. O incidente continua servindo como um estudo de caso, definindo diversas lições aprendidas e práticas recomendadas.
Um ataque à Colonial Pipelines em 2021 causou a paralisação de um importante gasoduto e fez com que surgissem diversas políticas que abordam as vulnerabilidades do setor.
Criminosos também cobram resgate do setor público, como uma série de ataques que aconteceram em 2022 em pelo menos 45 distritos escolares e 44 faculdades dos EUA.
Tendências e desdobramentos no campo dos ransomwares
Embora as primeiras ameaças e ataques de ransomware pareçam ser originários do Leste Europeu, especialistas sugerem que os criminosos agora atuam em âmbito mundial. Eles também estão expandindo o escopo das ferramentas utilizadas para desenvolver novas variantes e estão explorando maneiras de comprometer várias organizações simultaneamente.
Impacto dos ataques de ransomware sobre as empresas
O impacto de um ataque de ransomware depende, em parte, do setor de atuação da organização-alvo.
Como os ataques de ransomware afetam diferentes setores da economia
No caso de instituições de serviços financeiros, por exemplo, a falta de acesso a sistemas fundamentais pode impedir que colaboradores e clientes acessem suas contas ou pode atrasar processos, como o recebimento de pedidos de empréstimos.
Na saúde, um ataque pode prejudicar o atendimento de pacientes, já que médicos e outros profissionais podem não conseguir acessar os registros necessários, como os prontuários.
Na área da produção industrial, o prejuízo pode decorrer de atrasos na produção enquanto se decide se o resgate deve ser pago ou não. Isso também pode causar um efeito dominó em outras partes da cadeia de suprimentos.
Alvos comuns e setores vulneráveis a ataques de ransomware
Talvez nenhum setor seja imune a essas ameaças, embora um relatório do FBI sugira que dois a cada cinco ataques denunciados mirem organizações cruciais de infraestrutura.
A mesma pesquisa sugere que organizações de serviços de saúde, produção industrial, transportes e órgãos públicos também figuram entre os alvos frequentes de ataques de ransomware.
Consequências financeiras e reputacionais de um incidente de ransomware
Mesmo após a descriptografia dos dados, pode ser necessário um investimento alto para o restabelecimento total das operações. Segundo o Departamento de Saúde e Serviços Humanos dos Estados Unidos, o custo médio de recuperação de um incidente de ransomware é de US$ 1,27 milhão em todos os setores.
O valor do resgate que uma organização pode ter de pagar talvez seja só a ponta do iceberg. Os prejuízos podem decorrer das interrupções nas operações regulares da empresa ou do abandono de clientes após a cobertura da mídia.
Mesmo após o fim do ataque, talvez seja necessário um grande esforço para a organização provar que tomou as providências para evitar um incidente semelhante a fim de reconquistar a confiança de seus stakeholders.
Prevenção e mitigação de ataques de ransomware
Felizmente, organizações de todos os portes podem começar a intensificar suas defesas contra ataques desse tipo e melhorar a forma como respondem a eles, caso aconteçam.
Estratégias eficazes de prevenção de ataques de ransomware
Além das auditorias periódicas de segurança de TI e backup dos dados, transferir alguns dados para a nuvem pode facilitar o restabelecimento de uma versão anterior.
Para dificultar invasões de sistemas, desligue-os quando não estiverem sendo utilizados ou apenas desconecte-os da rede.
A importância de orientar e conscientizar colaboradores
Para defender a sua organização contra incidentes de cibersegurança, é importante ajudar os colaboradores a entender os riscos enfrentados por todos e o papel que cada um desempenha na prevenção de incidentes.
Conduza treinamentos regulares ou eventos breves que ensinem a identificar tentativas de ataques de phishing. Assim, eles saberão quando não devem clicar em links ou abrir anexos.
Se houver uma nova variante rondar o seu setor, informe-os e estimule-os a denunciar eventuais atividades suspeitas.
A função dos softwares de segurança e da criptografia na mitigação dos riscos de ransomware
Hoje, muitas tecnologias fortalecem as defesas das organizações. As chaves de acesso, por exemplo, são uma alternativa à digitação de nomes de usuário e senhas e podem acrescentar mais uma camada de proteção contra ataques cibernéticos.
Independentemente da natureza da sua organização, seus dados e dispositivos são inestimáveis. Com os conhecimentos, as estratégias e as ferramentas certas, vocês conseguirão conter os ataques de ransomware e quaisquer outras ameaças mais comuns de cibersegurança.
Dê seu próximo passo iniciando seu período de avaliação do LastPass hoje mesmo.