Nem sempre a palavra “ransomware” é a primeira que vem à mente quando o assunto é cibersegurança. Até hoje, a principal preocupação em relação à proteção de dados sempre foi diretamente relacionada às invasões de rede ou roubos de informações privadas.
Workshop online e gratuito “Ransomwares: defenda sua empresa do sequestro digital”; inscreva-se
Acontece que, com o aumento do armazenamento de dados corporativos, os ataques ransomware entraram (e se popularizaram) na lista dos crimes virtuais. Nesta modalidade, o objetivo é sequestrar dados e criptografá-los, em vez de simplesmente solicitar informações pessoais por meio de mensagens falsas.
Alguns tipos de ransomware fizeram história. Neste post, você vai descobrir quais são os ataques mais conhecidos (e perigosos) da internet.
O ransomware na verdade faz parte de uma das muitas classes de softwares maliciosos usados por cibercriminosos. Ao infectar um computador ou rede, ele criptografa os arquivos que encontra ou bloqueia a capacidade do computador de usar livremente o sistema afetado.
Em seguida, suas vítimas recebem um pedido de resgate (normalmente cobrado em bitcoins) para decifrar e devolver as informações reféns. Os ataques de ransomware podem afetar empresas e indivíduos que utilizam dispositivos pessoais (como smartphones).
Ao contrário do que muitos pensam, o ransomware não é um vírus, e sim uma categoria de malware que busca bloquear o acesso aos dados, geralmente sob a ameaça de apagá-los caso não ocorra o pagamento de um determinado valor.
Vale lembrar que o prefixo “ransom” significa “resgate” em inglês, enquanto “ware” é um derivado de “software”. Logo, o ransomware é um tipo de software de sequestros. Os malwares, por sua vez, fazem parte de uma definição mais ampla, já que pode ser qualquer software projetado para causar danos a um dispositivo, rede ou sistema.
Leia mais: baixe nosso kit de segurança para entender tudo sobre ataques de ransomware e avaliar seu risco de vazamento de dados.
Embora existam inúmeras variedades de ransomware, elas se enquadram em duas categorias principais.
O Crypto ransomware é projetado para criptografar arquivos valiosos da vítima (como vídeos, documentos e fotos) para que eles se tornem inutilizáveis. Neste caso, o funcionamento do dispositivo não é afetado, e os arquivos aparentemente continuam presentes no sistema, mas não podem ser abertos.
Como nem todos fazem backup de seus arquivos na nuvem ou em alguma mídia externa, os criminosos que atacam deste modo geram receita ao manter os arquivos interceptados como resgate, exigindo que as vítimas tenham um determinado período para pagar por suas informações de volta.
Alguns motivos contribuem para o aumento de tipos de ataques como este nos últimos anos, como a dificuldade para recuperação de dados. Mesmo quando há a remoção do ransomware do sistema operacional, os arquivos podem continuar criptografados, e somente quem tem as chaves criptográficas do ataque consegue recuperar tais informações.
Ao contrário do Crypto ransomware, o Locker ransomware não criptografa arquivos. Em vez disso, é projetado para bloquear funções básicas do dispositivo, como impedir parcialmente o uso do teclado ou impossibilitar o acesso à área de trabalho.
Neste caso, a vítima não tem muitas opções a não ser interagir com a janela de resgate. Os arquivos, por outro lado, podem permanecer inalterados, mas sem possibilidade de acesso. Em ambos os tipos de ataque, os usuários podem se enxergar “de mãos atadas”, sem qualquer outra opção para poder acessar o seu dispositivo normalmente.
Existe também um terceiro modelo, que na verdade é um “falso ransomware”. Ele ameaça o usuário por meio de pop ups ou alertas de comprometimento de dados, no entanto, tudo não passa de um blefe: os dados não estão comprometidos de fato e tudo não passa de uma tentativa de conseguir dinheiro.
Agora que você já sabe quais são os dois principais tipos de ransomware, aqui estão alguns dos exemplos mais conhecidos da internet e suas variantes, para que você consiga reconhecer melhor a dimensão desse tipo de ameaça.
O Bad Rabbit infectou organizações na Rússia e outros países do leste europeu. O ataque se disseminou pelo mundo por um método de download oculto, no qual os usuários baixaram uma atualização falsa do Adobe Flash em sites comprometidos. Essa ação geralmente é suficiente para iniciar o download e concluir o ataque.
Esses tipos de programas baixados são chamados de instaladores de malware (ou “droppers”). Assim que o ransomware infecta as máquinas, os usuários são direcionados para uma página de pagamento que exige 0,05 bitcoin.
O B0r0nt0k é um crypto ransomware criado especificamente para Windows e Linux. Depois de se infiltrar em um servidor Linux, esse software malicioso criptografa os arquivos que encontra, e adiciona a extensão “.rontok” a eles.
Este ransomware também desativa funções e aplicativos, modifica as configurações de inicialização e adiciona arquivos, programas e entradas de registro nos servidores que invade.
O ransomware CryptoLocker se espalhou pela primeira vez em 2007, por meio de anexos de e-mails infectados. Logo após baixado e inserido em um novo sistema, ele mapeava as informações mais importantes daquele dispositivo para criptografá-las. Estima-se que este tipo de ataque já atingiu mais de 250 mil computadores domésticos.
O CryptoWall ganhou notoriedade alguns anos após após o controle e queda do CryptoLocker. Ele apareceu pela primeira vez no início de 2014, e suas variantes surgiram com muitos nomes, incluindo CryptoBit, CryptoDefense, e CryptoWall 2.0. Assim como o CryptoLocker, o CryptoWall foi disseminado por meio de e-mails e SPAM.
Também chamado de “vazamento”, o Doxware ameaça publicar suas fotos e informações roubadas. O nome vem da palavra em inglês “doxing” (às vezes soletrada como “doxxing”), que se refere ao ato de publicar as informações pessoais de alguém online. O próprio termo “dox” é uma referência a “documentos”.
O GoldenEye se tornou um dos tipos de ransomwares mais perigosos do mundo, sendo responsável por um shutdown em 2017 na Ucrânia, capaz de travar sistemas bancários e elétricos. Até o aeroporto do país sofreu com a paralisação.
Conhecido como um “irmão mortal” de outro ransomware (WannaCry), atingiu mais de 2.000 alvos, incluindo conhecidas empresas de petróleo e bancos russos. Uma das consequências mais alarmantes do ataque ocorreu na usina nuclear de Chernobyl: lá, o ataque forçou os funcionários a monitorar manualmente o nível de radiação, porque o ransomware os deixou sem acesso aos seus computadores Windows.
Sua disseminação foi feita por meio de uma campanha massiva, visando os departamentos de recursos humanos de grandes empresas. Após o download do arquivo, os arquivos no computador já começam a sofrer o processo de criptografia. Para cada arquivo criptografado, o Golden Eye adiciona uma extensão aleatória de 8 caracteres no final.
Como o próprio nome sugere, este tipo de ransomware infecta o sistema e bloqueia completamente o computador. Apesar de serem menos complexos que os ataques de criptografia, são mais difíceis de reverter e recuperar. O Locker também pode ser combinado com crypto ransomwares ao mesmo tempo, para dificultar ainda mais o acesso e pressionar a vítima a fazer o pagamento do resgate.
Petya foi um ataque de ransomware visto pela primeira vez em 2016, mas que reapareceu sob o nome de Golden Eye em 2017. Ao contrário de alguns outros tipos de ransomware, o Petya não criptografa apenas alguns arquivos, mas todo o disco rígido dos computadores que ataca. Ele também torna o sistema operacional não inicializável.
Inicialmente reconhecido como uma variante do Petya, o NotPetya é uma espécie de malware conhecido como “limpador”, ou seja: tem o único propósito de destruir dados, em vez de cobrar por um resgate.
“RaaS” é uma sigla para “ransomware as a service”, ou “ransomware como um serviço” em português. É um tipo de malware hospedado anonimamente por hackers. Neste modelo, cibercriminosos criam um “kit ransomware” para ser revendido na dark web, geralmente cobrando uma mensalidade ou parte dos lucros obtidos com o golpe.
Conhecido por vitimar muitas lojas brasileiras, o RansomExx, também pode ser chamado de Ransom X, Target777, Defray777, Defray 2018 e Defray, por ser um ransomware ativo desde 2018. Ele ataca empresas mundialmente, afetando tanto Windows quanto Linux.
Também conhecido como “software de engano”, o Scareware é um software que simula um antivírus ou ferramenta de limpeza. Ao realizar uma varredura, ele emite um alerta para que o usuário pague pela correção de algum (falso) problema encontrado.
Algumas versões deste ransomware realizam o bloqueio completo do computador, enquanto outros autorizam a exibição de pop ups com anúncios.
O Spora infecta sistemas de forma mais lenta, por meio de phishing ou websites comprometidos. Neste caso, os e-mails ou links contêm um arquivo não autorizado que, assim que baixado, extrai um ficheiro Javascript e o insere na pasta do sistema “% temp%”. Os arquivos são encriptados e o usuário recebe a mensagem para executar o resgate.
O WannaCry foi um notável ataque de ransomware que fez vítimas em mais de 150 países, a partir de 2017. O ataque foi baseado em uma vulnerabilidade no sistema operacional Windows, que rendeu uma brecha para a infecção de mais de 230.000 computadores em todo o mundo.
Ao explorar a vulnerabilidade de servidores para infectar outros computadores, o ataque rendeu cerca de US$ 4 bilhões, já que as vítimas afetadas realizaram o pagamento de altas quantias em bitcoins para não perder o acesso aos arquivos.
Muitas soluções de segurança especializadas conseguem identificar e bloquear os ransomwares antes mesmo que façam estragos no seu computador. Além disso, também existem sites que auxiliam na identificação dos tipos de ransomware que infectam sistemas, como o ID Ransomware. Neste último caso, é possível que não haja nenhuma solução para seu problema, a não ser que você possua um backup do arquivo atacado.
Vale lembrar que nem todos os antivírus oferecem proteção completa contra este tipo de problema atualmente, tendo em vista que diversos novos tipos de ransomwares surgem a cada ano.
Os desprotegidos que se tornarem vítimas de ransomware têm três opções: pagar o dinheiro necessário, tentar remover o software malicioso ou formatar o dispositivo. Apesar disso, o recomendado por todos os profissionais de segurança (inclusive do próprio FBI) é a de que você resista ao impulso de pagar pela recuperação dos arquivos. Além desta ação recompensar o ataque criminoso, não há nenhuma garantia de recuperação de dados após o pagamento.
Após constatar um ataque, desconecte o seu computador da rede, isole imediatamente as suas unidades externas (como unidades USB, discos rígidos, entre outros) e entre em contato com o setor de segurança de sua empresa, ou um especialista da área de segurança da informação.
Em 2020, o Brasil foi o segundo alvo preferido para o ransomware. Atualmente, estima-se que um ataque deste tipo aconteça a cada 11 segundos no mundo. Por isso, é preciso ter a consciência de que é melhor prevenir do que remediar uma ameaça tão comum no país. Não conte com a sorte: tenha cuidado e use uma boa solução de segurança.
Aprenda como detectar ataques de phishing e nunca baixe anexos ou programas de remetentes não confiáveis. Em geral, tenha muito cuidado com os tipos de sites que você visita e evite links de alto risco. Sites de compartilhamento de arquivos e pirataria, por exemplo, são famosos por conter códigos maliciosos.
Na dúvida, consulte o nosso analisador de links para ter certeza de que o domínio que você deseja acessar é realmente seguro.
Navegadores, aplicativos e sistemas operacionais desatualizados podem estar mais vulneráveis se um usuário visitar um site comprometido, já que a atualização normalmente inclui novos mecanismos de segurança.
Um levantamento recente da PSafe mostra que 98% dos sites corporativos têm vulnerabilidades. Se você trabalha em um ambiente corporativo e seu departamento de TI é limitado, analise a possibilidade de atualizações gerenciadas por um provedor terceirizado, para garantir que tudo seja corrigido em tempo hábil.
Se o pior acontecer e você sofrer um ataque de ransomware, um backup recente pode permitir que você limpe e restaure seus sistemas com perda mínima de dados – um fato que reduz o poder que os hackers têm sobre você.
Uma boa ferramenta anti-ransomware será capaz de detectar muitas variantes comuns de ameaças e impedir possíveis infecções. Escolha um produto que seja atualizado de forma constante, para te proteger de ransomwares mais recentes. Uma tecnologia preditiva e proativa, por exemplo, será suficiente para te manter a salvo, pois identifica potenciais ameaças antes mesmo que invadam seu dispositivo.
Não economize esforços para pesquisar e se informar sobre a melhor solução disponível no mercado para te proteger, afinal, os ataques estão cada vez mais sofisticados e a prevenção é a sua melhor arma contra eles.
Agora que você já sabe tudo sobre tipos de ransomware, não pare por aí. Acesse mais um post do nosso blog para conhecer 5 tipos de prejuízos que um ransomware pode causar para sua empresa.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…