Já se vão mais de 10 anos desde que os ataques de Ransomware - um malware capaz de extorquir dinheiro das vítimas - começaram. E desde então, eles se tornaram cada vez mais complexos e avançados, e causam um tremendo incômodo.
Os ataques de ransomware aumentaram exponencialmente desde a sua criação e as recentes ondas de ataques de ransomware com variantes novas do WannaCry e outros, viraram manchetes internacionais, porém muitas vezes, essas manchetes e os artigos subsequentes falavam apenas dos custos e dos inconvenientes causados, e pouca coisa foi dita sobre o que de fato é ou como funciona exatamente um Ransomware, como ele é distribuído e, talvez o mais importante, como evitar tornar-se vítima de tal ataque.
Para dar uma definição básica de Ransomware, é importante analisar o que o código malicioso tenta conseguir, bem como o criminoso que o criou e disseminou. Essencialmente, o malware criptografa os dados do usuário, deixando-os acessíveis somente mediante o pagamento de um resgate, que é de onde vem a palavra "Ransom" do Inglês. Normalmente, os arquivos criptografados são essenciais para negócios ou possuem informações pessoais importantes.
Uma vez que os arquivos são criptografados, uma nota de resgate é exibida para o usuário e o instrui sobre como o pagamento deve ser feito para descriptografar os dados. Em resumo, os dados do usuário são efetivamente retirados dele até que ele pague um resgate, por isso essa ação do ransomware é chamada de "Sequestro de Dados". Na maioria das vezes, o pagamento deve ser feito em Bitcoin ou outra moeda eletrônica e isso é utilizado para garantir ao criador do ransomware um certo grau de anonimato.
Basicamente existem dois tipos de ransomware. Um dos primeiros tipos lançado parecia bloquear a tela para que o usuário não pudesse mais acessar seu computador, mas a popularidade desse tipo de ransomware está declínio. O segundo tipo, mais comumente usado, são as variantes de ransomware que criptografam certos arquivos, geralmente permitindo ao usuário acesso limitado ao seu computador. Esse acesso limitado destina-se a permitir que o usuário seja informado sobre o sequestro dos seus dados e consiga, de certa maneira, efetuar o pagamento do resgate. Estes são conhecidos como cripto-ransomware.
Ao longo dos anos, surgiram muitos termos como cripto-ransomware, criptovírus e CryptoLockers que são usados para descrever o ransomware. Para não aumentar ainda mais a confusão, o termo ransomware é usado neste artigo para descrever um programa malicioso que criptografa ou limita o uso do computador pelo usuário com a intenção de extorquir um resgate.
Veja alguns exemplos de de telas de ransomware:
Veja nesses três passos como funciona o ataque:
- Entrega: O ransomware é entregue ao sistema da vítima de duas formas, por e-mail ou por kit de exploração anexado a um site comprometido.
- Execução e criptografia: Muitas vezes, os criadores do programa incluem várias medidas para evitar a detecção por programas antivírus. Um método cada vez mais popular é a "inserção de códigos", processo que injeta o código em serviços autênticos usados pelo sistema operacional. Uma vez que os antivírus e o firewall tenham sido evitados com sucesso, o ransomware começará a procurar pelos arquivos aos quais foi programado para criptografar. Normalmente são arquivos dos tipos .docx .xlxs, ou certos tipos de arquivos de imagem. Variantes mais avançadas de ransomware podem até mesmo se espalhar para unidades de rede na tentativa de infectar outros computadores e sistemas conectados ao alvo inicial. Assim que os arquivos forem encontrados, o programa iniciará o processo de criptografia. Isso pode levar minutos ou segundos. A variante Chimera criptografou arquivos com mais de 200 GB com sucesso em 18 segundos. Frequentemente são usados protocolos de criptografia de 128 bits, tornando a descriptografia praticamente impossível para alguém sem o conhecimento necessário.
- O Resgate: Assim que a encriptação estiver completa, uma nota de resgate ou uma tela de bloqueio será apresentada, informando ao usuário que os seus arquivos foram encriptados e que ele têm um certo período de tempo para realizar o pagamento, caso contrário seus arquivos ficarão encriptados permanentemente. Em teoria, uma vez recebido o pagamento, o criminoso enviará o código para descriptografar os arquivos afetados, mas como se pode imaginar, mesmo realizando o pagamento, nenhum código será recebido. É importante lembrar que se você está disposto a pagar você está muitas vezes lidando com um criminoso, e não pessoas com princípios morais. Pra inicio de conversa, se fossem pessoas confiáveis não estariam por ai sequestrando informações! Como sempre, não há garantia de que, uma vez feito o pagamento, você receberá o código de decodificação.
Embora o resumo acima seja um bem simplificado, ele fornece uma visão real de como o ransomware é entregue, implantado e como a vítima é extorquida.
Como foi mencionado acima, o ransomware é entregue através de dois métodos principais, sendo estes o e-mail ou kits de exploração. Se os usuários souberem como esses programas maliciosos são entregues, isso torna a prevenção muito mais fácil. Cada método será examinado separadamente:
- Email: O e-mail tornou-se o método preferido para a distribuição de ransomware e malware. Uma das razões pelas quais ele é o favorito é porque ele é confiável e é um método de fácil distribuição. Esse método de usar e-mails é muitas vezes chamado de phishing. Um e-mail que se parece com um e-mail legítimo que pode parecer de uma empresa legítima é enviado com anexos que contêm o ransomware e muitas vezes outros tipos de malware também. Uma vez abertos esses e-mails, o ransomware será automaticamente instalado. Os criadores do ransomware também podem vincular sites comprometidos, em vez de usar anexos. A Verizon estimou que 30% dos e-mails de phishing são abertos, portanto, a taxa de sucesso é de um terço de todos os e-mails. Ele foi adotado pelos desenvolvedores de ransomware como um importante método de distribuição por essa mesma razão.
Veja esses exemplos de emails infectados:
- Kits de exploração: Basicamente, um kit de exploração permite que o desenvolvedor de ransomware faça upload de códigos maliciosos para qualquer site a que tenha acesso. O código é projetado para explorar vulnerabilidades no site que o usuário esta acessando e no software navegador que esta utilizando. Por exemplo, o Flash Player da Adobe foi explorado para fornecer ransomware e várias outras formas de malware. Infelizmente, isso não se limita apenas a sites desconhecidos. Para aumentar a taxa de infecção, esses criminosos usam também sites legítimos e populares para distribuir ransomware. Embora isso seja sinistro, não é motivo para impedir que os usuários desfrutem de muitos dos benefícios que a Internet oferece. A melhor proteção contra tais ataques é simplesmente manter seus navegadores e antivírus sempre atualizados. Os desenvolvedores sérios disponibilizam frequentemente atualizações para resolver brechas em seus softwares, limitando assim as vulnerabilidades às quais os usuários estão expostos. Como sabemos, a atualização de software é uma das principais formas de prevenir a infecção.
Exemplos de sites falsos e infectados :
Por enquanto, tudo o que foi dito até agora parece muito desanimador mas existem maneiras de se prevenir. Como se diz que "prevenir é melhor do que remediar", o mesmo se aplica ao ransomware e outras pragas virtuais, e o melhor disso é que muitos dos métodos de prevenção de ataques são incrivelmente fáceis de realizar. Na maioria das vezes tudo o que você precisa é de disciplina e atenção.
- Atualização: Assegure-se que seus softwares sejam atualizados regularmente! Os desenvolvedores estão constantemente atualizando seus softwares com o principal objetivo de reduzir a quantidade de vulnerabilidades que podem ser exploradas pelos criminosos. A maioria dos softwares irá informá-lo quando uma atualização é necessária, ou irá atualizar automaticamente se você não desligar essa função. Pode ser complicado atualizar constantemente o seu sistema operacional e softwares, mas quando você considera o que pode dar errado, um pequeno inconveniente é sempre preferível. Na recente onda de ataques ransomware uma das principais razões pelas quais os ataques foram tão difundidos foi porque as pessoas não tinham baixado e instalado atualizações de segurança. Em muitos casos em que as pessoas estavam culpando a Microsoft, ao invés dos próprios criminosos cibernéticos e em certos casos, a Microsoft já havia realizado atualizações para evitar a exploração das vulnerabilidades, embora o uso do DoublePulsar tenha sido explorado.
- Antivírus: Isso não só ajuda contra ataques de ransomware, mas também previne numerosos outros ataques de malware. Existem inúmeros produtos no mercado e vai exigir alguma pesquisa sobre quais empresas são respeitáveis. O mesmo se aplica a outros softwares, mas você deve sempre manter seu software antivírus atualizado.
- Tome cuidado ao abrir e-mails e suspeite de pop-ups: Em primeiro lugar, observe se os e-mails estão sendo enviados por uma fonte legítima, isso pode ser facilmente visto ao verificar o endereço do remetente. Se parecer suspeito, não abra nenhum dos anexos. No corpo do e-mail, verifique rapidamente se há erros ortográficos e gramaticais óbvios. É improvável que as empresas enviem comunicações por e-mail contendo erros óbvios, pois isso reflete mal na empresa. Também esteja ciente de que os bancos e outras instituições financeiras nunca lhe pedirão informações sensíveis via e-mail. Algumas tipos de ransomware exigirão que você clique em um pop-up para implantar o vírus, portanto, NÃO clique em pop-ups e feche-os imediatamente.
- Tenha o hábito de criar backups: Isso não está necessariamente relacionado à prevenção mas, se o seu sistema for infectado, isso lhe permitirá restaurar todos os dados copiados anteriormente. Ao criar backups regulares você pode mitigar os resultados potencialmente desastrosos de um ataque ransomware. A criação de backups não é apenas aconselhável para combater ameaças cibernéticas, mas também no caso de um defeito no computador. Como uma precaução extra, além de backups em nuvem, faça backups em HD externo que pode ser desconectado do computador e armazenado em um local seguro.
Simplesmente empregando essas medidas, é possível se defender ou prevenir com sucesso um ataque de ransomware. Empresas e grandes corporações podem instituir políticas de segurança mais rígidas que restrinjam o acesso privilegiado apenas àqueles instruídos sobre as ameaças enfrentadas pela organização. Políticas como contatar o departamento de TI se um funcionário receber um e-mail suspeito podem poupar muito dinheiro à empresa no caso de um ataque de malware ou violação de dados.
Um dos principais componentes do combate às ciberameaças sempre foi a Atenção. Nessa medida, espera-se que este artigo tenha iluminado o que é ransomware, como ele é distribuído e, principalmente, como se defender contra ataques ou, de preferência, como evitar um ataque em conjunto. Ao empregar os métodos listados acima, você certamente aumentará sua postura de segurança e, definitivamente, dará grandes passos na prevenção de ataques. Apenas fazendo backups, por exemplo, você pode limitar drasticamente os danos causados por ataques de ransomware.
Para obter mais informações e dicas, veja os links a seguir:
Os ataques de ransomware aumentaram exponencialmente desde a sua criação e as recentes ondas de ataques de ransomware com variantes novas do WannaCry e outros, viraram manchetes internacionais, porém muitas vezes, essas manchetes e os artigos subsequentes falavam apenas dos custos e dos inconvenientes causados, e pouca coisa foi dita sobre o que de fato é ou como funciona exatamente um Ransomware, como ele é distribuído e, talvez o mais importante, como evitar tornar-se vítima de tal ataque.
O que é Ransomware?
Para dar uma definição básica de Ransomware, é importante analisar o que o código malicioso tenta conseguir, bem como o criminoso que o criou e disseminou. Essencialmente, o malware criptografa os dados do usuário, deixando-os acessíveis somente mediante o pagamento de um resgate, que é de onde vem a palavra "Ransom" do Inglês. Normalmente, os arquivos criptografados são essenciais para negócios ou possuem informações pessoais importantes.
Uma vez que os arquivos são criptografados, uma nota de resgate é exibida para o usuário e o instrui sobre como o pagamento deve ser feito para descriptografar os dados. Em resumo, os dados do usuário são efetivamente retirados dele até que ele pague um resgate, por isso essa ação do ransomware é chamada de "Sequestro de Dados". Na maioria das vezes, o pagamento deve ser feito em Bitcoin ou outra moeda eletrônica e isso é utilizado para garantir ao criador do ransomware um certo grau de anonimato.
Basicamente existem dois tipos de ransomware. Um dos primeiros tipos lançado parecia bloquear a tela para que o usuário não pudesse mais acessar seu computador, mas a popularidade desse tipo de ransomware está declínio. O segundo tipo, mais comumente usado, são as variantes de ransomware que criptografam certos arquivos, geralmente permitindo ao usuário acesso limitado ao seu computador. Esse acesso limitado destina-se a permitir que o usuário seja informado sobre o sequestro dos seus dados e consiga, de certa maneira, efetuar o pagamento do resgate. Estes são conhecidos como cripto-ransomware.
Ao longo dos anos, surgiram muitos termos como cripto-ransomware, criptovírus e CryptoLockers que são usados para descrever o ransomware. Para não aumentar ainda mais a confusão, o termo ransomware é usado neste artigo para descrever um programa malicioso que criptografa ou limita o uso do computador pelo usuário com a intenção de extorquir um resgate.
Veja alguns exemplos de de telas de ransomware:
Resumo do ataque
Segundo dados recentes, os ataques de ransomware estão em plena ascensão, por isso, é essencial saber como esse ataque é realizado. E neste ponto, o fator mais importante é saber de que forma o programa malicioso é entregue e distribuído. A razão pela qual a Entrega é tratada com mais detalhes é porque se você puder impedir a entrega do ransomware, você interromperá sua implantação.Veja nesses três passos como funciona o ataque:
- Entrega: O ransomware é entregue ao sistema da vítima de duas formas, por e-mail ou por kit de exploração anexado a um site comprometido.
- Execução e criptografia: Muitas vezes, os criadores do programa incluem várias medidas para evitar a detecção por programas antivírus. Um método cada vez mais popular é a "inserção de códigos", processo que injeta o código em serviços autênticos usados pelo sistema operacional. Uma vez que os antivírus e o firewall tenham sido evitados com sucesso, o ransomware começará a procurar pelos arquivos aos quais foi programado para criptografar. Normalmente são arquivos dos tipos .docx .xlxs, ou certos tipos de arquivos de imagem. Variantes mais avançadas de ransomware podem até mesmo se espalhar para unidades de rede na tentativa de infectar outros computadores e sistemas conectados ao alvo inicial. Assim que os arquivos forem encontrados, o programa iniciará o processo de criptografia. Isso pode levar minutos ou segundos. A variante Chimera criptografou arquivos com mais de 200 GB com sucesso em 18 segundos. Frequentemente são usados protocolos de criptografia de 128 bits, tornando a descriptografia praticamente impossível para alguém sem o conhecimento necessário.
- O Resgate: Assim que a encriptação estiver completa, uma nota de resgate ou uma tela de bloqueio será apresentada, informando ao usuário que os seus arquivos foram encriptados e que ele têm um certo período de tempo para realizar o pagamento, caso contrário seus arquivos ficarão encriptados permanentemente. Em teoria, uma vez recebido o pagamento, o criminoso enviará o código para descriptografar os arquivos afetados, mas como se pode imaginar, mesmo realizando o pagamento, nenhum código será recebido. É importante lembrar que se você está disposto a pagar você está muitas vezes lidando com um criminoso, e não pessoas com princípios morais. Pra inicio de conversa, se fossem pessoas confiáveis não estariam por ai sequestrando informações! Como sempre, não há garantia de que, uma vez feito o pagamento, você receberá o código de decodificação.
Embora o resumo acima seja um bem simplificado, ele fornece uma visão real de como o ransomware é entregue, implantado e como a vítima é extorquida.
Como o Ransomware é entregue
Como foi mencionado acima, o ransomware é entregue através de dois métodos principais, sendo estes o e-mail ou kits de exploração. Se os usuários souberem como esses programas maliciosos são entregues, isso torna a prevenção muito mais fácil. Cada método será examinado separadamente:
- Email: O e-mail tornou-se o método preferido para a distribuição de ransomware e malware. Uma das razões pelas quais ele é o favorito é porque ele é confiável e é um método de fácil distribuição. Esse método de usar e-mails é muitas vezes chamado de phishing. Um e-mail que se parece com um e-mail legítimo que pode parecer de uma empresa legítima é enviado com anexos que contêm o ransomware e muitas vezes outros tipos de malware também. Uma vez abertos esses e-mails, o ransomware será automaticamente instalado. Os criadores do ransomware também podem vincular sites comprometidos, em vez de usar anexos. A Verizon estimou que 30% dos e-mails de phishing são abertos, portanto, a taxa de sucesso é de um terço de todos os e-mails. Ele foi adotado pelos desenvolvedores de ransomware como um importante método de distribuição por essa mesma razão.
Veja esses exemplos de emails infectados:
- Kits de exploração: Basicamente, um kit de exploração permite que o desenvolvedor de ransomware faça upload de códigos maliciosos para qualquer site a que tenha acesso. O código é projetado para explorar vulnerabilidades no site que o usuário esta acessando e no software navegador que esta utilizando. Por exemplo, o Flash Player da Adobe foi explorado para fornecer ransomware e várias outras formas de malware. Infelizmente, isso não se limita apenas a sites desconhecidos. Para aumentar a taxa de infecção, esses criminosos usam também sites legítimos e populares para distribuir ransomware. Embora isso seja sinistro, não é motivo para impedir que os usuários desfrutem de muitos dos benefícios que a Internet oferece. A melhor proteção contra tais ataques é simplesmente manter seus navegadores e antivírus sempre atualizados. Os desenvolvedores sérios disponibilizam frequentemente atualizações para resolver brechas em seus softwares, limitando assim as vulnerabilidades às quais os usuários estão expostos. Como sabemos, a atualização de software é uma das principais formas de prevenir a infecção.
Exemplos de sites falsos e infectados :
Por enquanto, tudo o que foi dito até agora parece muito desanimador mas existem maneiras de se prevenir. Como se diz que "prevenir é melhor do que remediar", o mesmo se aplica ao ransomware e outras pragas virtuais, e o melhor disso é que muitos dos métodos de prevenção de ataques são incrivelmente fáceis de realizar. Na maioria das vezes tudo o que você precisa é de disciplina e atenção.
Como se prevenir
Eis aqui um guia de passos simples para aumentar sua postura de segurança. Estes são hábitos fáceis de implementar e muitas vezes não requerem nenhum gasto, bastando apenas estar ciente das ameaças que você enfrenta diariamente somente por estar conectado à internet. Aqui estão quatro métodos para ajudar a se prevenir contra ransomware: (e outras pragas)
- Atualização: Assegure-se que seus softwares sejam atualizados regularmente! Os desenvolvedores estão constantemente atualizando seus softwares com o principal objetivo de reduzir a quantidade de vulnerabilidades que podem ser exploradas pelos criminosos. A maioria dos softwares irá informá-lo quando uma atualização é necessária, ou irá atualizar automaticamente se você não desligar essa função. Pode ser complicado atualizar constantemente o seu sistema operacional e softwares, mas quando você considera o que pode dar errado, um pequeno inconveniente é sempre preferível. Na recente onda de ataques ransomware uma das principais razões pelas quais os ataques foram tão difundidos foi porque as pessoas não tinham baixado e instalado atualizações de segurança. Em muitos casos em que as pessoas estavam culpando a Microsoft, ao invés dos próprios criminosos cibernéticos e em certos casos, a Microsoft já havia realizado atualizações para evitar a exploração das vulnerabilidades, embora o uso do DoublePulsar tenha sido explorado.
- Antivírus: Isso não só ajuda contra ataques de ransomware, mas também previne numerosos outros ataques de malware. Existem inúmeros produtos no mercado e vai exigir alguma pesquisa sobre quais empresas são respeitáveis. O mesmo se aplica a outros softwares, mas você deve sempre manter seu software antivírus atualizado.
- Tome cuidado ao abrir e-mails e suspeite de pop-ups: Em primeiro lugar, observe se os e-mails estão sendo enviados por uma fonte legítima, isso pode ser facilmente visto ao verificar o endereço do remetente. Se parecer suspeito, não abra nenhum dos anexos. No corpo do e-mail, verifique rapidamente se há erros ortográficos e gramaticais óbvios. É improvável que as empresas enviem comunicações por e-mail contendo erros óbvios, pois isso reflete mal na empresa. Também esteja ciente de que os bancos e outras instituições financeiras nunca lhe pedirão informações sensíveis via e-mail. Algumas tipos de ransomware exigirão que você clique em um pop-up para implantar o vírus, portanto, NÃO clique em pop-ups e feche-os imediatamente.
- Tenha o hábito de criar backups: Isso não está necessariamente relacionado à prevenção mas, se o seu sistema for infectado, isso lhe permitirá restaurar todos os dados copiados anteriormente. Ao criar backups regulares você pode mitigar os resultados potencialmente desastrosos de um ataque ransomware. A criação de backups não é apenas aconselhável para combater ameaças cibernéticas, mas também no caso de um defeito no computador. Como uma precaução extra, além de backups em nuvem, faça backups em HD externo que pode ser desconectado do computador e armazenado em um local seguro.
Simplesmente empregando essas medidas, é possível se defender ou prevenir com sucesso um ataque de ransomware. Empresas e grandes corporações podem instituir políticas de segurança mais rígidas que restrinjam o acesso privilegiado apenas àqueles instruídos sobre as ameaças enfrentadas pela organização. Políticas como contatar o departamento de TI se um funcionário receber um e-mail suspeito podem poupar muito dinheiro à empresa no caso de um ataque de malware ou violação de dados.
Conclusão
Um dos principais componentes do combate às ciberameaças sempre foi a Atenção. Nessa medida, espera-se que este artigo tenha iluminado o que é ransomware, como ele é distribuído e, principalmente, como se defender contra ataques ou, de preferência, como evitar um ataque em conjunto. Ao empregar os métodos listados acima, você certamente aumentará sua postura de segurança e, definitivamente, dará grandes passos na prevenção de ataques. Apenas fazendo backups, por exemplo, você pode limitar drasticamente os danos causados por ataques de ransomware.
Para obter mais informações e dicas, veja os links a seguir:
- Seus backups o protegem contra ransomware?
- Ransomware: já pensou em ter que pagar para recuperar o acesso aos seus dados?
- 11 motivos para ainda temer o ransomware
- Malware e ransomware: como me proteger?
Postagens
0 Comentários:
Postar um comentário
A T E N Ç Ã O ! ! ! Todos os comentários são bem vindos. Porém, comentários com palavrões ou citações que sejam consideradas ofensivas serão sumariamente deletados.
Tks.