FacebookTwitterLinkedIn

Ransomware: cheque mate dos vilões no mundo corporativo

https://network-king.net/wp-content/uploads/2021/07/ransomware-2320793_1920-769x450.jpg

Apesar de 2020 ter trazido um declínio significativo no número de usuários que sofreram ataques de ransomware em relação a 2019, de acordo com estudo da Kaspersky, as empresas precisam continuar atentas a tais ameaças, porque o risco de serem atacadas está cada vez maior. Em busca de aumentar seus lucros, o ecossistema de cibercriminosos evoluiu tanto que hoje é uma das principais ameaças às corporações no mundo todo, podendo trazer prejuízos de até US$ 6 trilhões este ano, segundo a Cybersecurity Ventures, incluindo custos de downtime, recuperação e lucros perdidos.

Se em 2021 a quantidade de ataques pode diminuir ainda mais, as ameaças, ao contrário, ficarão cada vez mais destrutivas e caras para as empresas. Além de criptografar os principais dados e exigir um resgate para liberá-los, os bandidos têm usado técnicas para roubar primeiro os dados, para ameaçar torná-los públicos caso as empresas-alvo decidam não pagar o resgate. No primeiro trimestre deste ano, 77% dos ataques ameaçaram vazar os dados roubados, de acordo com a Coveware. É um cheque-mate dos vilões no mundo corporativo.

Porém, ao contrário do que pode indicar o senso comum, de que pode haver algum perfil específico de usuário ou empresa que seja mais suscetível a ataques de ransomware, o fato é que isso não existe. Hoje, praticamente qualquer pessoa ou empresa está vulnerável e pode ser alvo de uma invasão, seja em seus computadores, tablets, celulares, servidores, ou até nos mais variados tipos de sistemas eletrônicos conectados à internet, como câmeras de segurança, impressoras e assistentes pessoais.

O que se tem visto são ataques a empresas que têm muito a perder se seus dados forem expostos ao público, tanto por serem sensíveis ao negócio, quando por poderem ameaçar a integridade ou privacidade de seus clientes. As empresas mais atacadas têm sido as de tamanho médio – 68% dos ataques são voltados a companhias que têm entre 11 e 1.000 funcionários – que geralmente não têm expertise em tecnologia nem recursos financeiros para lidar com tais situações ou remediá-las rapidamente para prevenir invasões subsequentes.

Distribuição dos ataques por tamanho da empresa em Q1-2020, segundo a Coveware

Segundo a BlackFog, que monitora o estado do ransomware e acompanha os ataques individualmente, órgãos governamentais parecem ser os mais buscados por essa gangues, pelo valor que seus dados têm no mercado internacional. Mas empresas da área educacional também são alvos fáceis porque têm muitos usuários e muitas brechas, por usarem muitas vezes sistemas em fase beta, ou mesmo programas experimentais. Em seguida, vêm as empresas de serviço, que possuem muitos clientes, manufatura, que podem paralisar sua produção gerando enormes prejuízos imediatos, e a área de saúde, pela sensibilidade dos dados de seus pacientes.

O golpe do ransomware pode mirar uma grande corporação e exigir largas quantidades de dinheiro para que ela retome seus negócios, ou pode abarcar uma enorme quantidade de usuários comuns, demandando deles pequenos valores fáceis de pagar, mas que no cômputo geral podem somar boladas milionárias. E tudo em moedas eletrônicas que não podem ser rastreadas. Esqueça a velha frase dos filmes de espionagem de que “basta seguir o dinheiro”, o trabalho da polícia agora é outro e muito mais complexo.

De acordo com a Cloudwards, ao preço de USD 50 dólares compra-se um kit de ransomware na Dark Web. Um valor ínfimo comparado ao resgate médio de USD 5.900, pedido em 2020 a pequenas empresas para entregar-lhes uma chave matemática para descriptografar seus dados. E uma abissal diferença para o maior resgate pedido à construtora francesa Bouygues, estimado em EUR 10 milhões. Este ano, estima-se que um ataque corporativo aconteça a cada 11 a 14 segundos, deixando os alvos em média 23 dias sem funcionar, enquanto 25% das empresas afetadas pagarão mesmo o resgate pedido, em meio a riscos que incluem o vazamento dos dados, a paralização dos seus negócios, e também os processos jurídicos que podem vir a seguir, por parte dos próprios clientes por terem tido suas informações publicadas.

Como funciona um ransomware

Um software malicioso pode ter acesso ao seu computador, ou um computador da sua rede, explorando vulnerabilidades de segurança (como o protocolo de controle remoto do desktop, ou RDP da sigla em inglês, ou outras vulnerabilidades do sistema ou aplicativos), ou usando um pouco de engenharia social (conhecido como phishing). Em geral é um código que precisa ser executado pelo computador vítima para ganhar alçada sobre a memória, arquivos de dados, aplicativos ou do sistema operacional. Segundo a Symantec, apesar de sempre estarmos atentos a arquivos executáveis (como aqueles com a extensão .EXE no Microsoft Windows), muitos desses códigos vêm em documentos aparentemente inofensivos, como .DOC ou .DOT do Microsoft Word.

Para chegar ao seu computador, ele precisa ser inserido em uma mensagem eletrônica que vem pela rede, baixado por meio de um link clicado num e-mail ou site malicioso, ou ser gravado em algum dispositivo de armazenamento móvel a ser inserido em alguma porta do computador. Com frequência ele usa algum tipo de engenharia social para enganar o usuário e fazê-lo confiar no download do arquivo ou na execução do código. O software malicioso também pode ser transferido pela rede por meio da exploração de alguma falha de segurança em um firewall, roteador, sistema operacional ou aplicativo, sem que tenha qualquer interação direta com o usuário da máquina-alvo.

Independente do meio, seja por desatenção de um único usuário, ou por descuido da equipe que administra a rede, o software malicioso chega aos seus sistemas e, entre 45 minutos e 4 horas, faz um estrago que pode custar milhões. O último grande ataque cibernético deste tipo, executado pela rede REvil (Sodinokibi), comprometeu centenas de empresas americanas explorando uma brecha de segurança. Tal variante criminosa foi responsável por 15% dos ransomware em 2020, seguida pela Maze e Phobos (respondendo por 7,7% cada). E os ataques não vão parar por aí. Eles vêm evoluindo desde o primeiro de que se tem notícia em 1980 e mais de 70% deles têm êxito

Há poucos anos um tipo de software chamado Trojan vem sendo usado para, primeiro, roubar informações das máquinas infectadas (uma técnica conhecida como Doxing), que são avaliadas pelo seu potencial de importância e valor, para depois abrir as portas para um outro software de ransomware que criptografa essas informações e exige o resgate. Aplicações como Emotet ou TrickBot invadem os sistemas, copiam suas informações para um servidor remoto, e depois “puxam” malwares como o Ruyk, usado em 5,1% dos ataques no ano passado, nas invasões de vários jornais americanos em 2018 e no conhecido episódio da empresa da água e esgoto da Carolina do Norte.

Tipos de ransomware

É comum classificarmos os ataques de pedido de resgate em três tipos, segundo a ação que realmente fazem dentro dos sistemas invadidos.

Scareware: são ameaças muitas vezes vazias vindas em mensagens de e-mail, anúncios ou pop-ups de sites na internet, que alegam que seu computador tem algum problema ou que foi hackeado e exigem que você faça algum pagamento. Podem dizer que criptografaram seus arquivos, que encontraram algum tipo de conteúdo ilegal ou pornográfico em seu sistema, ameaçando uma exposição pública. Como nada foi executado na máquina-alvo, confiam no medo que a mensagem incita na vítima para que ela realize ações impensadas achando que foi invadida.

Locker: implanta um mecanismo que impede o acesso ao equipamento e exibe uma mensagem na tela, às vezes disfarçada de oficial com o logo de algum órgão governamental. Pode mostrar mensagens dizendo que seus arquivos foram criptografados, que seu computador está bloqueado, ou que encontraram algum conteúdo malicioso em seu disco. Mesmo reiniciando o computador, a mensagem continua aparecendo.

Crypto: implanta um código que criptografa de verdade os arquivos e impede o acesso aos dados, exibindo explicitamente o que foi feito e exigindo um resgate em algum método de pagamento que não possa ser rastreado, como uma cibermoeda. É o pior tipo, pois mesmo restaurando seu sistema operacional e aplicativos ao estado de fábrica, os dados continuarão bloqueados com uma chave que só os criminosos possuem e, para consegui-la, é preciso pagar o resgate pedido.

Famílias de ransomware, ou variantes

Entre os lockers e cryptos estão as variantes mais conhecidas de ransomware, famílias de códigos que, por sua similaridade no funcionamento ou ascendência comum (avaliada pela derivação de um código inicial) são agrupadas e categorizadas. Entre as mais conhecidas está a CryptoLocker, um botnet que surgiu em 2013, foi debelada em 2014 e deu praticamente origem a uma sequência de imitações que aterrorizam o mundo até hoje. WannaCry é uma outra variante famosa, responsável ainda pela maior parte das infecções por ransomware, tendo atingido mais de 125 mil organizações em 150 países, com um prejuízo calculado em pelo menos USD 4 bilhões.

GandCrab foi um outro ataque peculiar de 2018 que ameaçava divulgar os hábitos pornográficos de suas vítimas, dizendo que havia hackeado a webcam dos sistemas e que publicaria online os conteúdos filmados caso não fosse pago o resgate pedido. Essa variante tem evoluído e ainda aparece entre as cinco mais usadas no mundo do crime cibernético, ao lado agora de uma espécie de 2016, a Crysis/Dharma, capaz de usar múltiplos vetores de ataque, beneficiando-se de vulnerabilidades no protocolo de controle remoto do desktop (RDP).

Com o avanço dos sistemas computacionais, não é difícil imaginar outras variantes sendo dispersas redes afora, muitas delas acompanhadas pela Kasperski, ou aglutinadas e estudadas em grupos, como no estudo do time da eSentire com o pesquisador da Dark Web Mike Mayes, e cada uma atingindo um espectro computacional diferente, com ações às vezes imprevisíveis.

Prevenção

Para que seu sistema esteja preparado e imune a pelo menos os ataques de ransomware mais corriqueiros, é preciso ter um plano de treinamento e conscientização dos usuários, outro de recuperação contra desastres, backup automático de todos os arquivos e códigos importantes e um plano de emergência para, caso aconteça uma invasão, ela possa ser travada antes que seja tarde demais. Em 2020, 24% dos ataques foram prevenidos com sistemas anti-ransomware e outros bloqueios e monitoramentos de rede.

Um bom plano de recuperação de desastres vai envolver uma série de ações documentadas e estruturadas que precisam ser realizadas no caso de qualquer incidente, físico ou cibernético. É parte integral de um plano de continuidade do negócio, que leva em conta toda a infraestrutura de tecnologia da informação de uma corporação e envolve um bom seguro, um time treinado de pessoas com recursos para executá-lo, ferramentas atualizadas e até a ajuda de provedores externos.

Mas cuidado, ao procurar ajuda de terceiros, fique atento para empresas que dizem que podem descriptografar seus dados. Elas podem pagar o resgate e embutir o valor no preço de seus serviços.

O backup dos dados é talvez a parte mais importante da prevenção contra ataques de ransomware, pois os dados são justamente o objeto do resgate. Se a empresa tiver como recuperar seus dados de um backup recente, sem que precise recorrer ao pagamento do valor vultuoso exigido pelos criminosos para obter a senha de (des)criptografia, estará sempre um passo à frente deles. Uma boa estratégia inclui backups online e locais, em diferentes dispositivos. Obviamente em uma situação de ameaça de exposição pública dos dados, só ter um backup confiável não é a solução completa.

Por isso, se tudo o mais der errado, é preciso ter um plano de emergência automatizado. O plano de recuperação vem depois. Ao identificar que os sistemas estão sendo invadidos, é preciso “apertar o botão vermelho” e imediatamente realizar um corte nas comunicações da sua rede interna, para prevenir a disseminação, e da sua rede interna com qualquer rede externa, para impedir o contato dos sistemas infectados com outras redes e com o sistema central de controle do malware. É preciso desligar quaisquer Protocolos de Controle Remoto (RDP), para que o ransomware não possa ter acesso à distância a nenhum sistema. Senhas de administração precisam ser alteradas e todos os processos administrativos precisam ser parados. Enfim, todos os sistemas precisam ser desligados e, depois, ligados um a um, desconectados, para que se avalie a profundidade da infecção.

Se tudo o mais falhar…

Ao detectar um ataque, identifique o tipo de ransomware, com uma ferramenta específica para isso, que usa as mensagens exibidas pelos criminosos e a lista de arquivos danificados para definir qual a variante de ransomware e de onde veio.

Depois de executar seu plano de emergência, ao re-ligar seus sistemas individualmente, instale um sistema de varredura de malware, para que ele ajude a identificar e quarentenar o ransomware, caso seja possível. Se não for, cada sistema terá que ser restaurado à sua configuração de fábrica e os dados buscados nos arquivos de backup.

Na dúvida, consulte sempre um especialista, ou uma empresa de cybersegurança. A chance de você ou sua empresa ser infectada por um ransomware é de 51%, segundo a maioria dos estudos. Tudo vai depender do tamanho da sua empresa, da sensibilidade dos dados que ela armazena, de quão preparada sua equipe vai estar, de como seus funcionários estarão treinados para evitar essa situação, de como seu time de tecnologia vai lidar com os planos de recuperação e emergência, e de um pouquinho de sorte. Nesse jogo de xadrez, quanto mais tempo você conseguir evitar o cheque-mate, melhor.

FacebookTwitterLinkedIn