O que é ransomware?

Ransomware é um tipo de malware que os criminosos cibernéticos usam para infectar um dispositivo ou rede com software malicioso, que então criptografa arquivos e converte dados valiosos em códigos ilegíveis. Os criminosos sequestram os dados, descriptografando-os somente mediante o pagamento de um resgate.

Muitas pessoas têm essa dúvida: o ransomware é um vírus? A resposta é não. Ransomware e vírus são formas de malware com métodos de ataque diferentes: um vírus infecta os arquivos, enquanto o ransomware os criptografa.

As organizações podem ser vítimas de um ataque de ransomware por meio de e-mails de phishing, em que um e-mail é enviado com uma “isca” que atrai as vítimas, ou por drive-by download, em que um usuário acessa um site infectado e inadvertidamente baixa o malware.

O que é ransomware corporativo?

Ransomware corporativo é definido como um ataque de ransomware direcionado a uma empresa ou organização. A maioria dos ataques de ransomware ocorre em corporações, pois estas representam uma recompensa maior para os criminosos; mas as especificidades variam de acordo com o alvo.

Há uma razão pela qual os criminosos cibernéticos tendem a atacar empresas e não indivíduos – isso tem muito a ver com a forma como o ransomware se espalha e o valor potencial do crime. Mas como se espalha? O malware é baixado em um dispositivo quando alguém abre um e-mail e/ou clica em uma URL suspeita. Quanto maior for uma organização e mais membros de equipe ela tiver (ou seja, mais pessoas clicando), maior será a oportunidade para o ransomware se instalar. No entanto, corporações maiores podem ter operações de segurança mais fortes, devido a esse maior risco de ataque e porque também costumam ter um orçamento maior.

Grandes empresas também correm um risco maior de ataques de ransomware devido ao valor de seus dados. A probabilidade de terem grandes quantidades de dados extremamente confidenciais é maior, portanto, qualquer interrupção acarreta maiores custos operacionais. Nesse sentido, essas corporações são mais propensas a pagar o resgate a uma taxa ainda maior. Por exemplo, um ataque de ransomware a um hospital poderia gerar um pagamento de resgate maior para um criminoso cibernético do que se ele atacasse uma floricultura local.

História do ransomware

Segundo a maioria dos relatos, a história do ransomware começa em 1989 com um vírus conhecido como “AIDS Trojan”. Em um ataque orquestrado pelo biólogo Joseph Popp, 20.000 discos contendo um cavalo do Troia foram distribuídos em uma conferência sobre AIDS da Organização Mundial da Saúde. Assim que uma máquina era comprometida, uma nota de resgate era exibida na tela exigindo envio de 189 dólares para uma caixa postal no Panamá.

Desde os anos 80, a tecnologia evoluiu e os criminosos cibernéticos não precisam mais usar caixas postais para receber pagamentos. Os resgates agora são solicitados em Bitcoin, e o malware foi adaptado para se tornar mais perigoso e perturbador – inclusive ganhando qualidades semelhantes a worms e inovando em técnicas de infecção. As proteções contra ransomware também estão se adaptando para defender melhor as redes contra esses ataques cada vez mais sofisticados.

Tipos de ransomware

Existem vários tipos de ransomware, desde ataques direcionados a empresas de pequeno e médio porte até grandes corporações e prestadores de serviços de saúde administrados pelo governo. O preço do resgate também pode variar de centenas a milhões de dólares.

Ransomware CryptoLocker

O Cryptolocker existe desde 2013 e é considerado o primeiro exemplo de ransomware após o ataque original de 1989. Com o surgimento das criptomoedas na década de 2010, os criminosos cibernéticos passaram a ter um método de pagamento não rastreável para os resgates. O Cryptolocker foi o primeiro ataque de ransomware a usar criptografia avançada e incluir uma nota de resgate com instruções para pagar com Bitcoins.

O malware manteve um ataque de setembro até maio, no qual infectou 250.000 dispositivos, e os criminosos arrecadaram pelo menos 3 milhões de dólares. O Cryptolocker pode ser detectado pela nota de resgate exibida na tela.

Ransomware Ryuk

O ransomware Ryuk surgiu em 2018 e se baseia em um cavalo do Troia existente, o Hermes, que foi usado pela primeira vez em 2017. Embora o Hermes tenha sido usado em um ataque por um grupo de criminalidade cibernética patrocinado pelo Estado norte-coreano, agora acredita-se que o malware foi desenvolvido na Rússia.

Em 2021, foi detectada uma nova variante “semelhante a um worm” do Ryuk, que pode percorrer vários dispositivos automaticamente à medida que o programa espalha cópias de versões exclusivas de si mesmo.

Ransomware WannaCry

É fácil saber que seu dispositivo foi infectado pelo ransomware WannaCry devido ao aviso exibido: “Opa, seus arquivos importantes estão criptografados”. O primeiro ataque ocorreu em 2017, infectando mais 230.000 computadores em um dia.

A cada ataque, os criminosos cibernéticos cobram 300 dólares em bitcoin para descriptografar os arquivos, sendo que este valor dobra caso a exigência não seja paga no prazo. O WannaCry também é um malware baseado em worm que pode percorrer redes automaticamente.

Ransomware Sodinokibi

Sodinokibi é uma família de ransomware que infecta dispositivos Windows. Caso seu computador seja infectado pelo ransomware Sodinokibi, também conhecido como REvil, você verá uma nota de resgate na tela, exigindo bitcoins em troca da descriptografia de todos os seus arquivos. Esse malware infecta tudo em um dispositivo, exceto o conteúdo listado em seu arquivo de configuração. O malware foi usado pela primeira vez em 2019.

Ransomwares Dharma e Phobos

O ransomware Dharma, também conhecido como CrySiS, costuma atacar pequenas e médias empresas e exigir resgates menores para aumentar a probabilidade de as vítimas pagarem.

O ransomware geralmente ataca por meio do Protocolo de Área de Trabalho Remota e foi detectado pela primeira vez em 2016. Ele serviu de base para a criação do ransomware Phobos, que funciona de forma semelhante.

Ransomware Petya

O ransomware Petya precisa criptografar arquivos para funcionar e, embora outros malwares possam criptografar dados críticos específicos, o Petya pode infectar todo o disco rígido e impedir que o dispositivo seja ligado. O ransomware foi usado pela primeira vez em 2016, mas ganhou fama em 2017 com uma nova variante conhecida como GoldenEye.

Ransomware Cerber

Cerber é um exemplo de ransomware como serviço (RaaS), que se baseia no modelo de software como serviço. Os criadores do malware licenciam o Cerber para outros criminosos cibernéticos e, em troca, recebem uma parte do pagamento do resgate. Uma vez infectado, o dispositivo exibirá a nota de resgate do Cerber com as exigências na tela. O malware também pode criptografar arquivos em qualquer compartilhamento de rede não mapeado.

Ransomware Locky

Detectado pela primeira vez em 2016, o ransomware Locky se espalha por e-mail. Ele ficou conhecido por ter infectado um hospital com sede em Los Angeles e exigir o pagamento de 17 mil dólares. Esse incidente precedeu uma série de ataques a várias outras organizações de saúde. No entanto, não houve ataques de grande importância envolvendo o Locky desde aquela onda inicial.

Estudos de caso de ransomware

Os ransomwares tiveram um impacto enorme no mundo digital, tendo extraído bilhões de dólares das vítimas ao longo dos anos. Veja alguns dos principais exemplos de ataques de ransomware mais perturbadores e caros:

• Setembro de 2013, Cryptolocker: O malware Cryptolocker foi lançado como o primeiro ransomware a ser chamado como tal, após o AIDS Trojan em 1989. Para pôr fim a este ransomware, o FBI e a Interpol se envolveram.
• Maio de 2017, NHS: Durante um ataque global do WannaCry, o Serviço Nacional de Saúde do Reino Unido foi vítima de um dos exemplos de ransomware mais perturbadores do país. Como os sistemas ficaram inoperantes, as consultas tiveram que ser canceladas e os funcionários tiveram que recorrer ao papel e caneta. No total, o ataque WannaCry infectou 200.000 computadores em 150 países, custando US$ 4 bilhões, dos quais £ 92 milhões (US$ 120 milhões) foram gastos pelo NHS.
• Março de 2018, cidade de Atlanta: O governo municipal desta cidade localizada no estado da Geórgia foi atacado pelo ransomware SamSam em 2018. O governo municipal gastou mais dinheiro respondendo ao ataque (US$ 2,6 milhões) do que o custo real do resgate (cerca de US$ 50.000).
• Março de 2019, cidade de Baltimore: Os hackers atacaram a cidade de Baltimore em 2019 com um ransomware chamado RobbinHood, que inativou a maioria dos computadores do governo municipal. Os criminosos exigiram 13 bitcoins (US$ 76.280), afirmando que o preço aumentaria se o resgate não fosse pago em quatro dias, ou que todos os dados seriam excluídos permanentemente após 10 dias. Os sistemas foram restaurados sem que a cidade pagasse o resgate.
• Junho de 2020, University of California San Francisco: A universidade pagou 1,14 milhões de dólares após um mês de negociações com o ransomware Netwalker. O resgate inicial era de 4 milhões de dólares, mas a universidade negociou uma redução no preço.
• Setembro de 2020, DUC: O ataque Ryuk à Düsseldorf University Clinic, um centro de saúde localizado na Alemanha, levou à morte de um paciente que não conseguiu obter o tratamento necessário.
• Abril de 2021, Quanta: O recente ataque de ransomware Sodinokobi fez com que a Quanta, fabricante de Macbook, encarasse uma taxa de resgate de 50 milhões de dólares. A empresa se recusou a pagar a demanda e os criminosos cibernéticos divulgaram informações sobre o Macbook ao público.

Os custos de um ataque de ransomware

Ser vítima de um ataque de ransomware prejudica as finanças da sua empresa – não apenas pelo resgate em si, mas porque você também pode enfrentar multas aplicadas por reguladores de privacidade de dados ou perder negócios devido ao impacto negativo na confiança dos clientes.

De acordo com a Cybersecurity Ventures, apenas o custo dos ataques globais de ransomware foi estimado em 20 bilhões de dólares em 2021, e acredita-se que uma empresa seja atacada por malware a cada 11 segundos. Além disso, as empresas europeias estão enfrentando multas adicionais sob o GDPR por operações de segurança deficientes. Em 2020, a British Airways foi multada em £ 20 milhões (US$ 26 milhões) pelo órgão regulador. No entanto, a multa inicial foi de £ 183 milhões (US$ 239 milhões).

Além de perder dinheiro, muitas empresas enfrentam dificuldades para se recuperar – especialmente as menores. Cerca de 60% das pequenas empresas fecham após serem vítimas de uma violação de dados. Em 2020, a The Heritage Company, uma empresa de telemarketing com sede em Arkansas, fechou após uma violação de dados por ransomware em 2019. Seja o custo de gerenciar o ataque, das operações de recuperação ou da perda de clientes, o processo de recuperação de um ransomware pode prejudicar os negócios.

Como uma empresa se torna vítima de ransomware?

Quando uma empresa carece de medidas de segurança eficazes, torna-se vulnerável a ataques cibernéticos.

A falta de treinamento dos funcionários é uma das principais vulnerabilidades nas empresas. Se os funcionários não souberem identificar um e-mail suspeito, detectar ransomware e comunicar um problema, eles correm o risco de infectar os dispositivos e toda a rede. Os funcionários podem não estar cientes de que seus dispositivos estão suscetíveis a ataques, nem dos riscos de ransomware para Mac ou Linux. Embora esses dois operadores sejam reconhecidos por ter segurança integrada mais forte do que o Windows, eles ainda correm o risco de uma ameaça cibernética.

Aplicativos de terceiros também podem ser um ponto de entrada para os criminosos cibernéticos em sua rede. Pode ser mais fácil para eles acessar um aplicativo do que seu sistema e usar essa abertura para infectar seus dispositivos com malware.

Embora os funcionários possam criar vulnerabilidades, uma empresa segura terá uma ferramenta antivírus em vigor capaz de proteger contra possíveis softwares maliciosos, caso sejam baixados acidentalmente. O software precisa ser atualizado regularmente (ou “corrigido”) para resolver bugs e lidar com vulnerabilidades – um software sem correções pode enfraquecer suas defesas.

Como evitar um ataque ransomware

Existem muitas maneiras eficazes de proteger sua empresa contra um ataque de ransomware e evitar se tornar um alvo. Assim como em muitos ataques cibernéticos, os criminosos obtêm acesso a uma rede devido a más práticas de TI. Eles incluem:

• Treinamento insuficiente de funcionários
• Credenciais fracas
• Conceder muito acesso a aplicativos de terceiros
• Falta de firewalls eficazes
• Não usar um antivírus
• Não aplicar patches ou atualizar o software

É por isso que a segurança operacional é fundamental. Ter uma equipe bem treinada e credenciais fortes são ações que se complementam. A equipe deve ser treinada sobre a melhor forma de acessar a rede, especialmente ao trabalhar remotamente, além de como identificar e-mails de phishing, denunciar atividades suspeitas e criar senhas fortes. Tudo isso deve ser descrito em um plano de continuidade dos negócios – e embora prevenir seja melhor do que remediar, também é útil ter planos de recuperação de desastres de TI e continuidade dos negócios em vigor. Outras medidas importantes para evitar um ataque de ransomware incluem:

Sinais de que sua empresa foi atingida por ransomware

Existem muitos sinais que indicam que um computador foi comprometido por ransomware – o mais óbvio é a nota de resgate. Estes são alguns indicadores comuns:

• Receber e-mails de spear-phishing e spoofing é um sinal de que você está sendo alvo de criminosos cibernéticos
  • Ser vítima de ataques cibernéticos de teste em pequena escala que podem não parecer preocupantes pode significar que os criminosos cibernéticos encontraram vulnerabilidades em seu sistema antes que um ataque em grande escala fosse executado
• Seu antivírus o alerta sobre atividades suspeitas
• Você é notificado sobre tentativas suspeitas de login que não reconhece
• Percepção do surgimento de um novo software em sua rede
  • Programas de remoção de software, como GMER, PC Hunter e Process Hacker, são frequentemente usados por criminosos cibernéticos para remover, por exemplo, a proteção contra ransomware do Windows 10
  • Aplicativos como o Microsoft Process Explorer e o MimiKatz podem ser usados para roubar credenciais.

O que fazer se você sofrer um ataque

Se você sofreu um ataque de ransomware, estas são as principais etapas a serem seguidas:

1. Comunique o ataque.Certifique-se de que seus funcionários saibam como reconhecer e alertar a equipe sobre um ataque cibernético
2. Compreenda a situação em questão e detecte o malware. Tente detectar o malware que infectou seu sistema para que você saiba como se proteger e/ou agir para removê-lo
3. Desative a fonte da infecção. Procure o dispositivo que foi o ponto inicial do ataque e desconecte-o da rede para reduzir o risco de propagação do malware
4. Contenha o ataque. Desconecte todos os outros dispositivos na rede que estejam vulneráveis ao ataque para impedir que o ransomware se espalhe ainda mais
5. Tente descriptografar os dados e remover o ransomware. Somente tente isso se tiver uma equipe de segurança experiente, ou correrá o risco de piorar a situação
6. Recorra a um terceiro. Um especialista terceirizado pode ajudar a recuperar seus arquivos para que você não precise pagar o resgate