What Is Ransomware?

Como funciona o ransomware?

Ransomware uses asymmetric encryption. Trata-se de criptografia que usa um par de chaves para criptografar e descriptografar um arquivo. O par público-privado de chaves é gerado exclusivamente pelo atacante para a vítima, sendo a chave privada para descriptografar os arquivos armazenada no servidor do atacante. O atacante disponibiliza a chave privada para a vítima somente após o pagamento do resgate, embora campanhas recentes de ransomware tenham mostrado que isso nem sempre acontece. Sem acesso à chave privada, é praticamente impossível descriptografar os arquivos mantidos reféns em troca de um resgate.

Existem muitas variantes de ransomware. Frequentemente o ransomware (e outros tipos de malware) é distribuído por meio de campanhas de spam em e-mail ou através de ataques direcionados. O malware precisa de um vetor de ataque para estabelecer sua presença em um terminal. Depois que a presença é estabelecida, o malware permanece no sistema até concluir sua tarefa.

Após uma exploração bem-sucedida, o ransomware libera e executa um binário malicioso no sistema infectado. Esse binário, em seguida, pesquisa e criptografa arquivos valiosos, como documentos do Microsoft Word, imagens, bancos de dados e assim por diante. O ransomware também pode explorar vulnerabilidades do sistema e da rede para se espalhar para outros sistemas e, possivelmente, para organizações inteiras.

Depois que os arquivos são criptografados, o ransomware solicita ao usuário que pague um resgate dentro de 24 a 48 horas para descriptografar os arquivos. Caso contrário, eles serão perdidos para sempre. Se não houver um backup de dados disponível ou se os próprios backups tiverem sido criptografados, a vítima terá que pagar o resgate para recuperar seus arquivos pessoais.

Por que o ransomware está se espalhando?

Os ataques de ransomware e suas variantes estão evoluindo rapidamente para combater tecnologias preventivas por vários motivos:

• Fácil disponibilidade de kits de malware que podem ser usados para criar novas amostras de malware sob demanda
• O uso de intérpretes genéricos em boas condições para criar ransomware multiplataforma (por exemplo, o Ransom32 usa Node.js com uma carga JavaScript)
• Uso de novas técnicas, como criptografar o disco inteiro em vez de arquivos selecionados

Os ladrões de hoje nem precisam ser habilidosos em tecnologia. Os mercados de ransomware começaram a se propagar online, oferecendo cepas de malware para qualquer possível criminoso cibernético e gerando lucro extra para os autores de malware, que muitas vezes pedem parte dos lucros do resgate.

Por que é tão difícil encontrar os perpetradores de ransomware?

O uso de criptomoedas anônimas para pagamento, como o bitcoin, dificulta seguir o rastro do dinheiro e rastrear criminosos. Cada vez mais, os grupos de crime cibernético criam esquemas de ransomware para obter um lucro rápido. A ampla disponibilidade de código fonte aberto e plataformas de arrastar e soltar para desenvolver ransomware acelerou a criação de novas variantes de ransomware e ajuda os novatos em scripts a criar seu próprio ransomware. Normalmente, malwares de ponta, como o ransomware, são polimórficos por design, o que permite que os criminosos cibernéticos contornem facilmente a segurança tradicional baseada em assinatura com base no hash do arquivo.

O que é ransomware como serviço (RaaS)?

Ransomware como serviço é um modelo econômico de crime cibernético que permite que os desenvolvedores de malware ganhem dinheiro por suas criações sem a necessidade de distribuir suas ameaças. Criminosos não técnicos compram seus “produtos” e lançam as infecções, e pagam aos desenvolvedores uma porcentagem de seus ganhos. Os desenvolvedores correm relativamente poucos riscos, e seus clientes fazem a maior parte do trabalho. Algumas instâncias de ransomware como serviço usam assinaturas, enquanto outras exigem registro para acesso ao ransomware.

Como se defender contra ransomware

Para evitar ransomware e minimizar danos se você for atacado, siga estas dicas:

• Faça backup dos seus dados. A melhor maneira de evitar o risco de perder o acesso a seus arquivos críticos é ter sempre cópias de backup deles, de preferência na nuvem e em um disco rígido externo. Desse jeito, se passar por uma infecção por ransomware, você poderá apagar totalmente seu computador ou dispositivo e reinstalar seus arquivos a partir do backup. Isso protege seus dados e você não será tentado a recompensar os autores de malware pagando um resgate. Backups não evitam o ransomware, mas podem minimizar os riscos.
• Proteja seus backups. Verifique se os dados de backup não estão acessíveis para modificação ou exclusão dos sistemas onde os dados residem. O ransomware irá procurar backups de dados e criptografá-los ou excluí-los para que não possam ser recuperados, então use sistemas de backup que não permitem acesso direto aos arquivos de backup.
• Use um software de segurança e mantenha-o atualizado. Certifique-se de que todos os seus computadores e dispositivos estejam protegidos com software de segurança abrangente e mantenha todo o seu software atualizado. Certifique-se de atualizar o software de seus dispositivos com antecedência e com frequência, pois patches para falhas geralmente são incluídos em cada atualização.
• Pratique a navegação segura. Cuidado onde você clica. Não responda a e-mails e mensagens de texto de pessoas que você não conhece e baixe apenas aplicativos de fontes confiáveis. Isso é importante, já que os autores de malware muitas vezes usam engenharia social para tentar fazer você instalar arquivos perigosos.
• Use apenas redes seguras. Evite usar redes Wi-Fi públicas, já que muitas delas não são seguras, e os criminosos cibernéticos podem bisbilhotar seu uso da Internet. Em vez disso, considere instalar uma VPN, que fornece uma conexão segura com a Internet, não importa aonde você vá.
• Permaneça informado. Mantenha-se atualizado sobre as ameaças de ransomware mais recentes para saber o que merece sua atenção. Caso você passe por uma infecção por ransomware e não tenha feito backup de todos os seus arquivos, saiba que algumas ferramentas de descriptografia são disponibilizadas por empresas de tecnologia para ajudar as vítimas.
• Implemente um programa de conscientização sobre segurança. Forneça treinamento regular de conscientização sobre segurança para todos os membros da sua organização para que eles possam evitar phishing e outros ataques de engenharia social. Realize exercícios e testes regulares para ter certeza de que o treinamento está sendo observado.

Pontos de dados importantes da resposta a incidentes de ransomware

As tendências a seguir são comumente vistas por nossos especialistas em resposta a incidentes na linha de frente durante a investigação e a remediação de ransomware.

Tempo médio de permanência para ataques de ransomware (em dias)

O tempo médio de permanência para ataques de ransomware é de 72,75 dias, enquanto o de todas as ameaças (incluindo ransomware) é de 56 dias.

Dias populares da semana para distribuição de ransomware

Days of the week highlighted above represent when deployment and execution of the ransomware attack begins, not when the attacker gains initial access.

Minimize o risco e reduza o tempo de permanência do ransomware

Focus on attacker behavior to reduce the average dwell time of a strategic ransomware actor
from 72 days to only 24 hours or less.

9 etapas para responder a um ataque de ransomware

If you suspect you’ve been hit with a ransomware attack, it’s important to act quickly. Felizmente, há várias etapas que você pode seguir para ter a melhor chance possível de minimizar os danos e retornar rapidamente à rotina habitual de negócios.

1. Isole o dispositivo infectado: O ransomware que afeta um único dispositivo é um inconveniente moderado. O ransomware que tem permissão para infectar todos os dispositivos da sua empresa é uma grande catástrofe e pode tirar você do mercado para sempre. A diferença entre os dois muitas vezes se resume ao tempo de reação. Para garantir a segurança da sua rede, unidades de compartilhamento e outros dispositivos, é essencial que você desconecte o dispositivo afetado da rede, da Internet e de outros dispositivos o mais rápido possível. O quanto antes você fizer isso, menor será a probabilidade de que outros dispositivos sejam infectados.
2. Detenha a propagação: como o ransomware se move rapidamente, e o dispositivo com ransomware não é necessariamente o paciente zero, o isolamento imediato do dispositivo infectado não garantirá que o ransomware não exista em outro lugar da sua rede. Para limitar efetivamente seu escopo, você precisará desconectar da rede todos os dispositivos que estejam se comportando de forma suspeita, incluindo aqueles que operam fora do local (se estiverem conectados à rede, eles representam um risco, não importa onde estejam). Desligar a conectividade sem fio (Wi-Fi, Bluetooth, etc.) nesse momento também é uma boa ideia.
3. Avalie os danos: Para determinar quais dispositivos foram infectados, verifique se há arquivos criptografados recentemente com nomes de extensão de arquivo estranhos e procure relatos de nomes de arquivos estranhos ou usuários com problemas para abrir arquivos. Se você descobrir dispositivos que não tenham sido completamente criptografados, eles devem ser isolados e desativados para ajudar a conter o ataque e evitar mais danos e perda de dados. Seu objetivo é criar uma lista abrangente de todos os sistemas afetados, incluindo dispositivos de armazenamento em rede, armazenamento em nuvem, armazenamento em disco rígido externo (incluindo pen drives USB), laptops, smartphones e quaisquer outros vetores possíveis. Nesse ponto, é prudente bloquear os compartilhamentos. Todos eles devem ser restringidos, se possível; do contrário, restrinja o máximo que puder. Isso interromperá todos os processos de criptografia em andamento e impedirá que compartilhamentos adicionais sejam infectados durante o trabalho de remediação. Mas antes de fazer isso, você vai querer dar uma olhada nos compartilhamentos criptografados. Isso pode nos fornecer uma informação útil: Se um dispositivo tiver um número muito maior de arquivos abertos do que o normal, talvez você tenha encontrado seu paciente zero. Caso contrário...
4. Localize o paciente zero: Rastrear a infecção fica consideravelmente mais fácil depois que a fonte é identificada. Para fazer isso, verifique se há alertas que possam ter vindo de seu antivírus/antimalware, EDR ou qualquer plataforma de monitoramento ativa. E como a maioria dos ransomwares entra nas redes por meio de links e anexos de e-mail maliciosos, que exigem uma ação do usuário final, perguntar às pessoas sobre suas atividades (como a abertura de e-mails suspeitos) e sobre o que elas perceberam também pode ser útil. Por fim, analisar as propriedades dos próprios arquivos também pode fornecer pistas: a pessoa listada como proprietária provavelmente é o ponto de entrada. Tenha em mente, no entanto, que pode haver mais de um paciente zero!
5. Identifique o ransomware: Antes de prosseguir, é importante descobrir com qual variante de ransomware você está lidando. Uma maneira de fazer isso é visitar o site No More Ransom, uma iniciativa mundial da qual a Trellix faz parte. O site tem um conjunto de ferramentas para ajudar você a liberar seus dados, incluindo a ferramenta Crypto Sheriff: Basta carregar um dos seus arquivos criptografados e ela fará a varredura em busca de uma correspondência. Você também pode usar as informações incluídas na nota de resgate: Se ela não explicitar a variante do ransomware diretamente, usar um mecanismo de pesquisa para buscar o endereço de e-mail ou a própria nota pode ajudar. Depois de identificar o ransomware e fazer uma pesquisa rápida sobre seu comportamento, você deve alertar todos os funcionários não afetados o mais rápido possível para que eles saibam identificar os sinais de que foram infectados.
6. Denuncie o ransomware às autoridades: Assim que o ransomware for contido, você vai querer entrar em contato com as autoridades policiais, por vários motivos. Em primeiro lugar, o ransomware é contra a lei e, como qualquer outro crime, deve ser denunciado às autoridades competentes. Em segundo lugar, de acordo com o Federal Bureau of Investigation (FBI) dos Estados Unidos, “as autoridades policiais podem empregar autoridades legais e ferramentas que não estão disponíveis para a maioria das organizações”. Parcerias com autoridades policiais internacionais podem ajudar na busca pelos dados roubados ou criptografados e contribuir para levar os perpetradores à justiça. Finalmente, o ataque pode ter implicações de conformidade: Sob os termos do RGPD, se você não notificar a ICO dentro de 72 horas sobre uma violação envolvendo dados de cidadãos da UE, sua empresa poderá sofrer multas pesadas.
7. Avalie seus backups: chegou a hora de começar o processo de resposta. A maneira mais rápida e fácil de fazer isso é restaurar seus sistemas a partir de um backup. Em uma situação ideal, você terá um backup completo e não infectado criado recentemente. Se a situação for essa, o próximo passo é empregar uma solução antivírus/antimalware para garantir que todos os sistemas e dispositivos infectados fiquem livres do ransomware; caso contrário, ele continuará bloqueando seu sistema e criptografando seus arquivos, potencialmente corrompendo seu backup. Depois que todos os vestígios de malware forem eliminados, você poderá restaurar seus sistemas a partir desse backup e, depois de confirmar que todos os dados foram restaurados e todos os aplicativos e processos estão funcionando normalmente, retornará aos negócios habituais. Infelizmente, muitas organizações não percebem a importância de criar e manter backups até precisarem deles e perceberem que não existem. Como o ransomware moderno é cada vez mais sofisticado e resiliente, até mesmo aqueles que criam backups acabam constatando que o ransomware também corrompeu ou criptografou esses backups, tornando-os completamente inúteis.
8. Research your decryption options: If you find yourself without a viable backup, there’s still a chance you can get your data back. A growing number of free decryption keys can be found at No More Ransom. Se houver alguma disponível para a variante de ransomware com a qual você está lidando (e supondo que você tenha eliminado todos os vestígios de malware do seu sistema até agora), você poderá usar a chave de descriptografia para desbloquear seus dados. Mesmo que você tenha a sorte de encontrar um decodificador, no entanto, o trabalho não terminou; você provavelmente ainda terá horas ou dias de tempo de inatividade enquanto trabalha na remediação.
9. Move on: Unfortunately, if you have no viable backups and cannot locate a decryption key, your only option may be to cut your losses and start from scratch. Recomeçar não será um processo rápido ou barato, mas se você esgotou suas opções, isso é o melhor que pode fazer.

Por que não devo simplesmente pagar o resgate?

Quando confrontado com a possibilidade de semanas ou meses de recuperação, pode ser tentador ceder a um pedido de resgate. No entanto, essa ideia é ruim por vários motivos:

• Talvez você nunca receba a chave de descriptografia. Ao pagar um pedido de resgate de ransomware, você supostamente receberá uma chave de descriptografia em troca. Mas ao realizar uma transação de ransomware, você depende da integridade dos criminosos. Muitas pessoas e organizações pagam o resgate e não recebem nada em troca. Elas perdem dezenas, centenas, milhares de dólares e ainda precisam reconstruir seus sistemas do zero.
• Você pode receber vários pedidos de resgate. Depois de pagar um resgate, os criminosos cibernéticos que distribuíram o ransomware sabem que você está à mercê deles. Eles podem dar a você uma chave que funciona se você estiver disposto a pagar um pouco (ou muito) mais.
• Você pode receber uma chave de descriptografia que funciona, mas com ressalvas. Os criadores de ransomware não operam no ramo da recuperação de arquivos, mas sim no ramo de fazer dinheiro. Em outras palavras, o decodificador que você recebe pode ser bom o suficiente apenas para que os criminosos digam que cumpriram com a palavra deles. Além disso, não seria inédito o próprio processo de criptografia ter corrompido alguns arquivos de maneira irrecuperável. Se isso acontecer, nem mesmo uma boa chave de descriptografia será capaz de liberar seus arquivos: eles estarão perdidos para sempre.
• Você pode estar pintando um alvo nas suas costas. Depois de pagar um resgate, os criminosos saberão que você é um bom investimento. Uma organização que tenha um histórico comprovado de pagamento de resgates é um alvo mais atraente do que um novo alvo que pode ou não pagar. O que impediria o mesmo grupo de criminosos de atacar novamente em um ou dois anos, ou entrar em um fórum e anunciar para outros criminosos cibernéticos que você é um alvo fácil?
• Even if everything somehow ends up fine, you’re still funding criminal activity Say you pay the ransom, receive a good decryptor key, and get everything back up and running. Este é apenas o melhor pior cenário (e não só porque você perdeu muito dinheiro). Ao pagar o resgate, você está financiando atividades criminosas. Mesmo ignorando as óbvias implicações morais, você está reforçando a ideia de que o ransomware é um modelo de negócios que funciona. Pense nisso: se ninguém pagasse o resgate, você acha que os malfeitores continuariam lançando ransomware? Impulsionados pelo sucesso e pelo pagamento descomunal que obtiveram, esses criminosos continuarão causando estragos em empresas desavisadas e continuarão investindo tempo e dinheiro no desenvolvimento de cepas novas e ainda mais nefastas de ransomware, e uma delas pode ir parar nos seus dispositivos no futuro.