Ransomware

Por que confiar em nós

Ransomware é um malware que criptografa todos os arquivos em suas estações de trabalho e servidores. Sem acesso aos seus arquivos, seu negócio não pode funcionar. Assim, saiba o que é ransomware e qual o seu significado. Além disso, confira uma explicação detalhada de como funciona ransomware.

O que é Ransomware?

Existem muitos tipos de malware circulando por aí – um deles é o ransomware.

Para recuperar o acesso, você deve pagar um resgate para obter a chave de descriptografia digital . É um ataque cibernético devastador que pode ameaçar a viabilidade do seu negócio.

Como o Ransomware infecta seus sistemas

O ransomware pode obter acesso ao seu computador usando uma de várias técnicas comuns.

  • Download ilegal de músicas e filmes. Frequentemente, os downloads são semeados com malware.
  • E-mails de phishing. E-mails de golpe que tentam atrair a vítima para visitar um site fraudulento ou abrir um anexo malicioso e infectado.
  • Explorando fraquezas de perímetro. Por exemplo, o Remote Desktop Protocol (RDP) é uma tecnologia que permite que a equipe acesse as instalações de TI no escritório quando estão em casa ou na estrada. Vulnerabilidades na implementação do RDP foram descobertas no passado. Essas vulnerabilidades foram devidamente exploradas e usadas para espalhar ransomware.

    O tamanho do problema

    Explorar vulnerabilidades RDP é uma das técnicas que o ransomware NotPetya usa. NotPetya é provavelmente o exemplo mais prejudicial globalmente de ransomware já visto. Em 2017, ele estava paralisando empresas em todo o mundo, de PMEs a corporações gigantes.

    A AP Moeller-Maersk é a maior operadora de navios porta-contêineres e navios de suprimento do mundo. Eles têm outros interesses, como gerenciamento da cadeia de suprimentos, operação de portos e perfuração de petróleo. Contudo, em 27 de junho de 2017, no espaço de cerca de quatro horas, eles perderam capacidade operacional em 130 países.

    A Maersk não pagou o resgate. Eles tinham as reservas para poder lançar novos laptops, computadores, servidores e sistemas de telefonia baseados em IP e reconstruir seus sistemas.

    O preço final foi superior a £ 300 milhões.

    A Norsk Hydro perdeu praticamente toda a capacidade de fabricar alumínio por causa de uma infecção do ransomware LockerGogo . Eles também se recusaram a pagar o resgate e acabaram pagando uma conta de mais de US$ 40 milhões.

    A gigante alimentícia espanhola Mondelez também foi atingida pelo NotPetya em 2017 e sofreu perdas e danos de US$ 100 milhões.

    Vale mencionar que o seguro cibernético é projetado para cobrir os custos de lidar com um incidente de segurança , como trazer equipes especializadas em tratamento de incidentes, substituir hardware , limpar sistemas comprometidos, lidar com a mídia e manter linhas diretas para os titulares de dados afetados . Eles geralmente não cobrem danos por perda de negociação.

    E como a Mondelez descobriu, se o incidente for classificado como “ guerra cibernética ”, as seguradoras podem apresentar a isenção de “ato de guerra” e não pagar nada. O Reino Unido, os EUA, a Austrália e o Canadá examinaram o código-fonte do NotPetya e o atribuíram à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GU), o serviço de inteligência militar da Federação Russa.

    Essas são as grandes vítimas dignas de manchetes. Houve um número incontável de pequenas e médias empresas, pequenas organizações e entidades corporativas que foram afetadas pelo NotPetya. E essa é apenas uma variedade de ransomware.

    ransomware KeRanger foi o primeiro a ser visto especificamente projetado para atacar Macs. Ele foi lançado em 2016. Dispositivos móveis e celulares também estão em risco. O ransomware bloqueia você completamente do dispositivo e não deixa você voltar até que o resgate seja pago.

    A maioria das infecções de celulares é resultado da instalação de aplicativos maliciosos.

    O que o Ransomware faz?

    Todo ransomware causa (ou imita) um problema e exige pagamento para remover o problema. Assim como todo malware, há diferentes níveis de sofisticação exibidos por essa classe de malware.

    Quais são os tipos de ransomware?

    Software de terror

    Com scareware , uma mensagem aparece declarando que há algo errado com seu computador, ou ele está infectado, ou hackers o invadiram.

    Você é informado de que para corrigir o problema, você deve pagar o resgate e que, se fizer isso, o computador será desinfetado, e os hackers o deixarão em paz.

    Às vezes, essas mensagens se disfarçam como pacotes de suporte de TI ou técnico , ou até mesmo suporte da Microsoft.

    Seus arquivos não são afetados por esse tipo de ataque. Se o computador puder ser desinfetado para remover a mensagem pop-up, ele retornará à operação normal.

    Bloqueadores de tela

    Esse tipo de ataque coloca uma janela de tela cheia que você não pode ignorar e não pode fechar. A mensagem que ele exibe é uma variação de alguns temas comuns.

    • Você foi atingido por ransomware, pague o resgate. Simples assim.
    • O FBI ou outra agência de aplicação da lei detectou downloads ilegais, software pirateado , pornografia criminosa, etc., no seu computador. Pague a multa para restaurar sua máquina a uma condição de funcionamento. Claro, se qualquer um desses fosse verdade, o devido processo seria seguido, e você receberia uma batida na porta — não uma mensagem no seu laptop.

    Criptografia Ransomware

    Este é o perigo real. Eles realmente criptografam seus arquivos. Muitas vezes, eles ficam na sua rede por semanas antes de disparar para garantir que infectaram o máximo de computadores possível.

    Eles esperam até que a equipe móvel provavelmente tenha visitado a matriz para que seus laptops também possam ser infectados. Ao esperar assim, o ransomware terá sido incluído em seus backups .

    Se você decidir reconstruir seus sistemas em vez de pagar o resgate, você restaurará a infecção junto com seus dados. Ela será acionada novamente em algumas semanas.

    Uma técnica de controle comum é o ransomware reunir informações e enviá-las de volta aos servidores de comando e controle. É nesses servidores que a inteligência está.

    O ransomware em si é bem burro. Ele reporta de volta à base, recebe novas instruções do software automatizado no servidor e age de acordo com essas instruções. Esse ciclo se repete.

    No entanto, houve alguns casos em que a inteligência remota não era um servidor de comando e controle, era um ser humano.

    Conduzindo o malware como um drone remoto, o agente da ameaça garantiu, ao longo de um período de semanas, que havia infectado toda a infraestrutura de TI , backups locais e backups externos antes de acionar a criptografia.

    Quem são os alvos comuns do ransomware?

    Alguns ataques são direcionados e outros são infecções aleatórias de e-mails de phishing enviados a milhões de endereços de e-mail para infectar o maior número possível de vítimas.

    • Os ataques de 2019 aos serviços essenciais de cidades como Baltimore, Maryland, Riviera Beach, Flórida, Wilmer, Texas, e New Bedford, Massachusetts, foram direcionados, pesquisados ​​e projetados para serem o mais impactantes possível.
    • Hospitais são frequentemente alvos porque, com vidas em jogo, os sistemas devem ser restaurados o mais rápido possível. Resgates são frequentemente pagos por hospitais.
    • Outro setor comumente visado é o financeiro, simplesmente porque eles têm fundos para pagar resgates enormes.

    No entanto, a maioria dos ataques atinge vítimas que os agentes da ameaça nem sabem que existem, até que o ransomware é acionado.

    Como se proteger contra ransomware

    Essas etapas são práticas recomendadas de segurança cibernética e devem ser adotadas e seguidas como norma.

    • Mantenha todos os sistemas operacionais de sua estação de trabalho, notebook e servidor corrigidos e atualizados. Isso reduz o número de vulnerabilidades que seus sistemas abrigam. Quanto menos vulnerabilidades, menos explorações possíveis.
    • Não use privilégios administrativos para nada além de administração. Não dê privilégios administrativos a programas e processos também.
    • Instale proteção de ponto de extremidade gerenciada centralmente, que pode incluir software antivírus e funcionalidade antimalware , e mantenha-a atualizada. Certifique-se de que os usuários não consigam recusar ou adiar atualizações de assinatura.
    • Faça backups frequentes em diferentes mídias, incluindo backups off-site. Isso não evitará a infecção, mas ajudará na recuperação. Teste seus backups regularmente .
    • Crie um plano de recuperação de desastres , obtenha a adesão de executivos experientes e implemente tudo o que puder para aumentar a capacidade de funcionamento do seu negócio caso você seja atingido por um ataque.
    • Crie uma política de tratamento de incidentes cibernéticos e pratique-a.
    • Forneça treinamento de conscientização cibernética para sua equipe. Se eles encontrarem um pendrive não identificado no estacionamento na hora do almoço, eles vão conectá-lo a um dos seus computadores logo após o almoço? Eles saberão que não devem abrir anexos de e-mail não solicitados? Eles estão trabalhando de forma diligente e cautelosa, e você promove uma cultura voltada para a segurança?

    Você deve pagar o resgate?

    A maioria das agências governamentais e de aplicação da lei envolvidas em segurança cibernética aconselham você a não pagar o resgate e pedem que você denuncie o ataque.

    Pagar o resgate significa que os agentes da ameaça são encorajados a continuar seus ataques. Se ninguém os pagar, a teoria diz que o ransomware será inútil e morrerá.

    No calor do momento, quando você está tentando pesar o custo do resgate versus os custos associados a não pagar o resgate, é uma decisão difícil.

    Você tem que considerar o preço geral da limpeza ou substituição de equipamentos, reconstrução e restauração dos seus sistemas de linha de negócios e a perda de receita enquanto faz isso.

    Poucas organizações têm poder financeiro para resistir a um ataque como a Maersk.

    Às vezes, é o medo – e o custo – do dano à reputação que leva as empresas a pagar o resgate. Elas desejam proteger sua posição aos olhos dos clientes e do mercado mais amplo, atribuindo o curto hiato a alguns problemas técnicos.

    Vale ressaltar que há casos em que o resgate foi pago, mas ainda assim levou mais de um mês para a chave ser entregue à vítima. Não há maneira viável de manter isso em segredo.

    É difícil colocar um número nisso, mas estimativas sugerem que 65 por cento dos ataques de ransomware não são reportados, e os resgates são pagos.

    Resgates de mais de US$ 5 milhões foram vistos, mas em quase todos os casos, os resgates são muito mais baixos. Isso os torna acessíveis para a PME média e mais baratos do que os custos associados a não pagar o resgate.

    Alguns ransomwares são até mesmo geograficamente conscientes e ajustam seu preço de acordo com a economia do país da vítima.

    E a grande questão é: você recupera seus dados?

    Estimativas dizem que em 65 a 70 por cento dos casos, os dados são descriptografados com sucesso.

    Às vezes, as rotinas de descriptografia nem sequer foram escritas – os agentes da ameaça pegam o dinheiro e fogem. Afinal, você está lidando com criminosos. Mas esse tipo de ransomware tem uma vida útil curta.

    Uma vez que se espalhe a notícia de que você não vai ter seus dados de volta, ninguém vai pagar o resgate. Então faz sentido econômico para os agentes de ameaças descriptografar os arquivos da vítima sempre que possível.

    Às vezes, as rotinas de descriptografia simplesmente não funcionam. Todo software é propenso a bugs . Os agentes de ameaças dedicam mais tempo e esforço de desenvolvimento às rotinas de infecção, replicação e criptografia do que às rotinas de descriptografia. Eles podem ter pretendido que elas funcionassem, mas às vezes não funcionam.

    É fácil assumir uma posição moral superior e dizer para não pagar; outra coisa é estar no meio de um incidente que pode prejudicar seu negócio e não ser tentado pela saída “fácil”.

    Como diz o ditado, não sou médico, mas sei que é melhor prevenir do que remediar.

    Related Terms

    Marshall Gunnell
    IT and Cyber ​​Security Specialist
    Marshall Gunnell
    Especialista em TI e Segurança cibernética

    Marshall, natural do Mississippi, é um especialista dedicado em TI e segurança cibernética com mais de uma década de experiência. Junto com a Techopedia, seus artigos podem ser encontrados em Business Insider, PCWorld, VGKAMI, How-To Geek, and Zapier. Seus artigos alcançaram um público massivo de mais de 100 milhões de pessoas. Marshall atuou anteriormente como Chief Marketing Officer (CMO) e redator técnico da StorageReview, fornecendo cobertura de notícias abrangente e análises detalhadas de produtos em matrizes de armazenamento, discos rígidos, SSDs e muito mais. Ele também desenvolveu estratégias de vendas com base em pesquisas de mercado regionais e globais para…