Neste artigo, vou falar um pouco sobre Ransomware: um tipo de ataque há muito tempo empregado contra empresas e pessoas, que recentemente ganhou destaque entre as ameaças mais preocupantes.

O nome refere-se a um ataque executado através de um malware com pedido de resgate (Ransom).

O primeiro ataque ocorreu em 1989 com um Ransomware chamado PC Cyborg, que recebeu o nome de  AIDS Trojan por ter sido disseminado por disquetes durante uma conferência da OMS (Organização Mundial da Saúde) sobre a tal doença. O vírus cibernético exigia o pagamento de US$189 para renovação de licença, direcionado a uma caixa postal no Panamá, tendo como favorecido a PC Cyborg Corporation. O AIDS Trojan mantinha o sistema inacessível, mas como envolvia criptografia simétrica, foi logo superado com o auxílio de ferramentas.

De lá pra cá, muita coisa mudou e o Ransomware evoluiu cada vez mais, graças a 2 marcos: o uso massivo de Internet e Smartphones, bem como a utilização de moeda virtual digital (Bitcoin). Como consequência tivemos o fenômeno do RaaS (Ransomware as a Service), que poderia ser adquirido com uma pequena taxa através da Darknet, com opções de customizar o ataque com mensagens direcionados às vítimas e alteração do valor a ser extorquido, em troca da chave de decriptação.

As novas versões deste ataque passaram a utilizar criptografia assimétrica e encriptavam os arquivos presentes no computador infectado. Após o último arquivo útil ser encriptado, uma mensagem comunicava o que deveria ser feito para que o usuário pudesse reavê-los. Frequentemente havia uma mensagem na tela da máquina afetada, com uma contagem regressiva para que a vítima fizesse o pagamento a uma conta em Bitcoin:

Feito isso, a promessa é a de que o hacker responsável pelo ataque enviasse a chave de decriptação para que os arquivos fossem recuperados. Porém, muitas vezes esse acordo não é cumprido por parte do criminoso.

Como possíveis vetores de ataque temos o phishing, que pode ser feito por arquivo/anexo ou site malicioso através de algum link; além de watering hole, onde o hacker insere um script em uma página web legítima, que após ser acessada, instala o malware na máquina do usuário alvo.

Temos algumas formas de prevenir esse ataque:

• Efetuar Backup dos dados críticos: o  backup adequadamente provisionado é a premissa básica para disponibilidade dos sistemas de qualquer empresa. Os dados são suscetíveis a perda, seja por problemas mecânicos, erro humano ou por ataques cibernéticos. Se os dados não podem ser recuperados, a vulnerabilidade é constante.

• Elaborar políticas voltadas à segurança do uso de recursos corporativos: as políticas fazem parte das regras e cuidados que os colaboradores devem ter com o uso de recursos pertencentes às empresas, evitando assim, a negligência.

• Campanhas de conscientização de segurança para os colaboradores: as campanhas de conscientização servem como nivelamento e reciclagem para que todos na empresa tenham o conhecimento mínimo, prezando pelo uso seguro dos dados.

• Uso de ferramentas de segurança: as variantes de Ransomware requerem o emprego de diversas ferramentas: firewall, antivírus, anti-phishing, entre outros. Ao mesmo tempo, é importante que, além da proteção individual de cada ferramenta, o usuário tenha uma instância superior que as correlacionem. Caso contrário, teremos complexidade e ineficiência nas respostas aos incidentes.  O uso de uma solução de SIEM é imprescindível para tratarmos uma crise com agilidade a fim de aumentar a possibilidade de proteger os ativos da empresa contra uma variedade de ameaças.

O volume de ataques Ransomware endossa a preocupação que devemos ter: foram praticamente 1 milhão no primeiro semestre de 2020 no Brasil (*). Na América Latina, o país é vítima de 46% dos casos de tal ameaça (**). Projeta-se que a perda financeira de empresas no mundo todo será de 6 trilhões de dólares para 2021 e 10 trilhões de dólares para 2025 (***).

Os ataques estão cada vez mais focados em empresas, que têm muito a perder com a interrupção de seus serviços e perda de dados. Um exemplo disto são as indústrias, com o uso cada vez mais frequente de IoT (Internet das Coisas), pois cada minuto de parada na fábrica se traduz em uma perda financeira considerável. Assim como o setor de manufatura, o de saúde também sofre muito com esse tipo de ameaça por questões ainda mais delicadas: muitos equipamentos hospitalares estão conectados à Internet (alguns, IoT), impactando no tratamento dos pacientes e, por vezes, se tornando uma questão de vida ou morte. A inoperância dos sistemas de um hospital também prejudica o atendimento de novos pacientes, aumentando ainda mais sua atividade-fim. Para piorar, ainda há risco de vazamento de dados dos pacientes, resultando em penalizações regulatórias, como se já não bastasse o prejuízo nas operações.

Mesmo assim, o Ransomware também é voltado a usuários não-corporativos, como podemos verificar em um exemplo de aplicativo malicioso para Android:

Diante da tendência de crescimento de ataques Ransomware, cada vez mais numerosos e complexos, existem 2 possíveis caminhos para encarar essa ameaça: a prevenção por meio de ferramentas adequadas e conscientização do usuário; ou uma carteira de Bitcoin preparada para o momento do pedido de resgate.

Seja qual for a decisão, o tempo é curto e está correndo.

* Relatório de Ameaças Cibernéticas 2020 da SonicWall.

** Kaspersky – 2020

*** https://thedataprivacygroup.com/premium-blog/2020/6/28/m7lysclogb20vnbwh3mrdw4itq6enp
Cybercrime To Cost The World $10.5 Trillion Annually By 2025