Há 10 anos, um software que sequestrasse computadores e só permitisse
que o usuário tivesse acesso aos arquivos novamente após pagar uma
quantia de dinheiro podia ser considerado ficção científica. Atualmente,
isso é uma realidade graças a evolução dos ransomwares, família de vírus que criptografa arquivos e só os libera após o pagamento de um "resgate".
A tradução do nome já diz tudo: o termo "ransomware" vem da palavra "resgate" em inglês (ransom) unida ao sufixo de malware.
Recentemente, o ataque com ransomware foi notícia após um hospital dos Estados Unidos ficar com todo o sistema de computadores bloqueado por uma semana
e só receber o controle novamente após pagar US$ 14 mil ao
cibercriminoso que enviou o vírus. No Brasil, as vítimas mais constantes
são pequenas e médias empresas e também órgãos do setor público. Mas
isso não é um padrão, os hackers não possuem um critério de escolha e
atacam onde for mais fácil prender o sistema e, possivelmente, conseguir
dinheiro.
Apesar de ser bastante complexo, o meio de infecção por ransomware mais utilizado é bem antigo: os e- mails.
Na imagem ao lado, você pode ver um exemplo de mensagem utilizada para
espalhar o vírus: uma chamada com um assunto em alta e bastante
sensacionalista.
Exemplificando: um hipotético funcionário de um hospital está
olhando seus e-mails e, na caixa de Spam, vê que foi o ganhador do
prêmio de US$ 1 milhão de uma loteria na Ucrânia onde nem havia
participado. Para receber o prêmio, basta baixar um arquivo executável e
instalá-lo no computador. Curioso, nosso bravo ganhador da hipotética
loteria faz o que o e-mail manda. O instalador em questão carrega um
ransomware, que utilizando chaves de código de 1048 bits, ou até
maiores, bloqueia todo o sistema do hospital e exibe uma janela onde
pede o pagamento de US$ 1 milhão em bitcoins, moeda utilizada a internet
que não deixa rastros.
Além da tradicional infecção por e-mail, também já foram
relatados casos de infecção por ransomware em redes wi-fi abertas, sites
na internet com segurança duvidosa e, em alguns casos, até mesmo
arquivos de texto. "Para empresas, o método mais utilizado atualmente
para infectar computadores são as falhas em serviços remotos, que
permitem controlar computadores à distância. Os cibercriminosos também
estão adotando novas técnicas de proliferação do ransomware como
vulnerabilidades no Java e Flash. Já relatamos até um ataque onde o
malware chegou ao computador via arquivo PDF e DOC", comentou o
especialista de segurança da Kaspersky, Fabio Assolini.
Quando o vírus chega ao sistema operacional, os arquivos são criptografados com chaves de cifragem altas, normalmente de 1048
até 4096 bits, dificultado o trabalho das equipes de TI. Junto com o
impedimento de acessar os arquivos, o software malicioso também abre uma
janela onde dita as ordens para a vítima fazer o pagamento ao hacker,
para que ele desbloqueie o conteúdo. Normalmente, os cibercriminosos pedem o "resgate" em bitcoin, já que a moeda é criptografada.
Exemplo de tela de ransomware. Retirada de um ataque contra uma prefeitura brasileira
Vale
ressaltar que o hacker não dá nenhuma garantia de que vai mesmo
desbloquear os arquivos da vítima. Em alguns casos, como explica Fabio
Assolini, nem mesmo o próprio hacker consegue descriptografar o software
malicioso. "O número de criminosos amadores está aumentando no mercado.
Existem famílias de ramsomware com chaves de cifragem tão mal
programadas que a recuperação dos arquivos é impossível. Na hora de
criar o vírus, o próprio hacker acabava eliminando a chave que abria os
arquivos do sistema".
Entregar o dinheiro para os hackers é a PIOR decisão a ser tomada
É consenso entre as empresas de segurança que entregar o dinheiro para os hackers é a PIOR decisão a ser tomada.
Primeiramente, por causa da falta de garantia. Segundo, nada impede o
criminoso de atacar a mesma vítima duas vezes. Em terceiro lugar, pagar
pelo resgate de arquivos é a a atitude que mantém os ataques de
ransomwares vivos, afinal, é a prova de que o sistema dá certo e os
hackers estão faturando com essa prática ilegal.
Crescimento e Popularização
O crescimento dos ataques com ransmwares está ligado,
principalmente, a popularização da internet e a chegada do vírus em mais
plataformas, pois quanto mais meios de ser infectados, mais chances de
ser atacado. Em questão de números, o principal sistema operacional atingido pelo ransomware é o Windows, porém, a família de vírus também já chegou no Linux e, no ano passado, o pesquisador brasileiro Rafael Salema Marques comprovou que os dispositivos com Mac também possuem vulnerabilidades que podem ser exploradas pelo software sequestrador. Também já existem indícios de ataque de ransomware no sistema da Apple. No início de março, a Palo Alto Networks encontrou o malware junto com uma versão de Mac do Transmission, programa de gerenciamento de torrents.
Os dispositivos móveis também não escapam dos ransomwares.
Recentemente, a empresa de segurança Symantec registrou uma onde de
ataques de ransomware da família Android.Lockdroid, feita especialmente
para o sistema operacional mobile do Google. O vírus bloqueia a tela do
smartphone e, em seguida, abre uma janela onde explica que, para
desbloquear os arquivos do aparelho, a vítima deve entrar em contato com
o hacker para fechar uma acordo por meio de um serviço de mensagens do
próprio malware.

No ano passado, também foram registrados os primeiros ataques de ransomwares contra servidores Web Linux.
Neste caso, o vírus criptografava o website, deixando todo o conteúdo
fora do ar. Como os ataques ainda são recentes, o método de infecção
ainda não está claro.
Além do crescimento no número de plataformas e nos meios de
infecção, o vírus também se espalhou geograficamente, atingindo países
de menor poder financeiro, incluindo o Brasil, que foi a quarta maior
vítima deste tipo de ataque em 2015. "Antes, os ransomwares atacavam
países desenvolvidos, mas, por causa da facilidade, os cibercriminosos
começaram a mirar em países menores economicamente", afirma Fabio
Assolini da Kaspersky.
Alugue um Ransomware e divida os lucros com o hacker
O crescimento dos ataques de ransomwares também gerou um mercado
que vai além dos sequestro direto de arquivos e que, consequentemente,
aumenta ainda mais o número de ataques. O hacker conhecido como Fakben encontrou outra alternativa para ganhar dinheiro com o malware sequestrador: vendendo e alugando códigos de ransomware para novatos no mundo do cibercrime.
De acordo com Trend Micro, o negócio chamado Cryptolocker Service, que pode ser contratado na DeepWeb, promete que qualquer pessoa possa lançar ataques do tipo, contanto que o dono do código receba 10% dos ganhos.
As taxas de cobranças pelo aluguel do vírus podem variam e o
gerente do Cryptolocker Service recomenda que os usuários peçam valores
de resgate mais baixos, em torno de US$ 200, já que o malware não possui
uma codificação pesada.
Segundo Fabio Assolini da Kaspersky, esta prática é conhecida
como sistema de afiliados e também funciona com porta de entrada para
novos hackers. "Neste sistema, um criminoso que ainda não sabe programar
seu próprio malware consegue os códigos com alguém mais experiente e os
dois trabalham em conjunto, dividindo os lucros no final do ataque".
Como se prevenir
Com todos esses meios de proliferação do
ransomware, bem como outras ameaças digitais, se proteger completamente
está cada vez mais complicado, mas algumas práticas podem ajudar a
evitar os vírus que podem levar o seu computador a um bloqueio total.
É consenso entre os especialistas de segurança que o único
critério de escolha dos hackers na hora de atacar com ransomwares é a
facilidade. Se o usuário possui um sistema vulnerável, existem chances
de ser atacado. Porém, como esse tipo de ataque envolve dinheiro, quanto
maior o peixe, maior o banquete, o que acaba fazendo as empresas,
hospitais e prefeituras as vítimas mais frequentes dos ransomwares.
Como o correio eletrônico ainda é o principal meio utilizado para a infecção por ransomware, nunca abra e-mails de fontes duvidosas ou desconhecidas.
"Não existe espaço para curiosidade em segurança, se você recebeu um
e-mail de quem não conhece, pense como se fosse uma carta normal. Se
você não abriria uma carta de um desconhecido, por que abrir um
e-mail?", aponta o gerente da Intel Brasil, Marcus Almeida.
Nunca abra e-mails de fontes duvidosas ou desconhecidas
Além disso, é necessário ter cuidado na navegação em redes wi-fi
abertas e ser cauteloso na navegação pela internet, evitando fazer
downloads em sites de confiança duvidosa.
No caso das empresas, os ataques acontecem principalmente em
servidores e serviços remotos com baixa segurança. Logo, investir em um
antivírus ou sistema de proteção abrangente é uma boa ideia e evitar uma
grande dor de cabeça. Ataques de ransomware contra empresas e grandes
corporações miram em valores a partir de US$ 4 mil. Com esse dinheiro,
dá para contratar uma ótima equipe de TI, senhor
empresário/prefeito/gerente de hospital.
Também é recomendado, para usuários comuns e empresariais, manter
um backup dos principais arquivos em unidades de armazenamento externas
ou serviços de nuvem.
Vale ressaltar, novamente, que, ao ser vítima de um ransomware,
não é recomendado pagar o resgate pelos arquivos. Sempre é bom lembrar
que estamos lidando com criminosos e, neste tipo de ataque, todo o poder
está nas mãos do hacker e nada impede o atacante de simplesmente pegar o
dinheiro e ão liberar o computador criptografado.
O Brasil está preparado para uma onda de ransomwares?
Segundo a previsão de cibersegurança da Norton, o ransomware será
o crime digital que mais será usado no Brasil ao longo de 2016. Mas
será que já estamos preparados para lidar com esse tipo de situação?
Como já foi citado, um dos alvos constantes dos ataques de
ransomware no Brasil são as prefeituras, o que é bastante preocupante.
Em 2015, os funcionários públicos da cidade de Pratânia, em São Paulo, ficaram algumas semanas sem pagamento por causa de um ataque.
"Quando um órgão público para por causa de um ataque de ransomware, já é
um indicação da falta de preparo, de que eles não tinham nem mesmo um
backup", comenta Fabio Assolini da Kaspersky.
Como envolve sequestro de informação e quantias relevantes de
dinheiro, o uso de ransomware é considero um crime de extorsão. De
acordo com Nelson Barbosa, especialista em segurança da Norton e
estudante de direito, a legislação do país ainda deve passar por um processo evolutivo para incluir os crimes digitais.
"Em algumas capitais, já existem delegacias voltadas para crimes
virtuais, mas ainda vai demorar um tempo para se tornar comum ver um
cibercriminoso indo para a corte e sendo julgado".
Atualmente, ter um backup dos seus principais arquivos é essencial
Outro problema enfrentado pela autoridades na hora de encontrar
um culpado é a geografia: os ataques de ransomware são enviados de
outros países e quando o resgate é pago em bitcoins, localizar o cibercriminoso é muito improvável.
Fabio Assolini, explica que, nomalmente, existe uma colaboração entre
as empresas de segurança na internet e a polícia. "Enquanto a polícia
age de forma nacional, a internet tem um caráter bastante globalizado, o
que não impede que os hackers lancem um ataque da Europa para atingir o
Brasil. Geralmente ocorrem colaborações entre especialistas na área e
as forças da lei, para que as prisões dos cibercriminosos sejam
efetivadas".
Neste cenário de crescimento de cibercrimes e pouco preparo de
órgãos importantes da sociedade, tudo o que nós, meros usuários da
internet, podemos fazer é ficar preparados, e nunca abrir e-mails da
loteria ucraniana.
Fonte: Olhar Digital