Boadica - Notícias - Ransomware: conheça o vírus que sequestra computadores e pede resgate

Segundo a McAfee Labs, o Brasil foi a quarta maior vítima deste tipo de ciberataque no ano passado, e em 2016 o uso do malware deve aumentar ainda mais. Por causa disso, vamos explicar neste artigo como funcionam os ransomwares, com se prevenir e saber mais sobre toda a indústria que gira em torno deste cibercrime.

A tradução do nome já diz tudo: o termo "ransomware" vem da palavra "resgate" em inglês (ransom) unida ao sufixo de malware.

Recentemente, o ataque com ransomware foi notícia após um hospital dos Estados Unidos ficar com todo o sistema de computadores bloqueado por uma semana e só receber o controle novamente após pagar US$ 14 mil ao cibercriminoso que enviou o vírus. No Brasil, as vítimas mais constantes são pequenas e médias empresas e também órgãos do setor público. Mas isso não é um padrão, os hackers não possuem um critério de escolha e atacam onde for mais fácil prender o sistema e, possivelmente, conseguir dinheiro.

Segundo Marcus Almeida, gerente de SMB da Intel Security Brasil, os ransomwares já são desenvolvidos desde a época do MS-DOS, mas estão ficando cada vez mais complexos, nocivos e difíceis de serem combatidos. "Os primeiros ataques eram mais simples de serem corrigidos, atualmente os malwares estão muito mais sofisticados. Muitas vezes os códigos criados pelos hackers para desbloquear o sistema tem mais de 100 dígitos, praticamente impossível de ser descoberto".

Apesar de ser bastante complexo, o meio de infecção por ransomware mais utilizado é bem antigo: os e- mails. Na imagem ao lado, você pode ver um exemplo de mensagem utilizada para espalhar o vírus: uma chamada com um assunto em alta e bastante sensacionalista.

Exemplificando: um hipotético funcionário de um hospital está olhando seus e-mails e, na caixa de Spam, vê que foi o ganhador do prêmio de US$ 1 milhão de uma loteria na Ucrânia onde nem havia participado. Para receber o prêmio, basta baixar um arquivo executável e instalá-lo no computador. Curioso, nosso bravo ganhador da hipotética loteria faz o que o e-mail manda. O instalador em questão carrega um ransomware, que utilizando chaves de código de 1048 bits, ou até maiores, bloqueia todo o sistema do hospital e exibe uma janela onde pede o pagamento de US$ 1 milhão em bitcoins, moeda utilizada a internet que não deixa rastros.

Além da tradicional infecção por e-mail, também já foram relatados casos de infecção por ransomware em redes wi-fi abertas, sites na internet com segurança duvidosa e, em alguns casos, até mesmo arquivos de texto. "Para empresas, o método mais utilizado atualmente para infectar computadores são as falhas em serviços remotos, que permitem controlar computadores à distância. Os cibercriminosos também estão adotando novas técnicas de proliferação do ransomware como vulnerabilidades no Java e Flash. Já relatamos até um ataque onde o malware chegou ao computador via arquivo PDF e DOC", comentou o especialista de segurança da Kaspersky, Fabio Assolini.

Quando o vírus chega ao sistema operacional, os arquivos são criptografados com chaves de cifragem altas, normalmente de 1048 até 4096 bits, dificultado o trabalho das equipes de TI. Junto com o impedimento de acessar os arquivos, o software malicioso também abre uma janela onde dita as ordens para a vítima fazer o pagamento ao hacker, para que ele desbloqueie o conteúdo. Normalmente, os cibercriminosos pedem o "resgate" em bitcoin, já que a moeda é criptografada.

Exemplo de tela de ransomware. Retirada de um ataque contra uma prefeitura brasileira

Vale ressaltar que o hacker não dá nenhuma garantia de que vai mesmo desbloquear os arquivos da vítima. Em alguns casos, como explica Fabio Assolini, nem mesmo o próprio hacker consegue descriptografar o software malicioso. "O número de criminosos amadores está aumentando no mercado. Existem famílias de ramsomware com chaves de cifragem tão mal programadas que a recuperação dos arquivos é impossível. Na hora de criar o vírus, o próprio hacker acabava eliminando a chave que abria os arquivos do sistema".

Entregar o dinheiro para os hackers é a PIOR decisão a ser tomada

É consenso entre as empresas de segurança que entregar o dinheiro para os hackers é a PIOR decisão a ser tomada. Primeiramente, por causa da falta de garantia. Segundo, nada impede o criminoso de atacar a mesma vítima duas vezes. Em terceiro lugar, pagar pelo resgate de arquivos é a a atitude que mantém os ataques de ransomwares vivos, afinal, é a prova de que o sistema dá certo e os hackers estão faturando com essa prática ilegal.

Crescimento e Popularização

O crescimento dos ataques com ransmwares está ligado, principalmente, a popularização da internet e a chegada do vírus em mais plataformas, pois quanto mais meios de ser infectados, mais chances de ser atacado. Em questão de números, o principal sistema operacional atingido pelo ransomware é o Windows, porém, a família de vírus também já chegou no Linux e, no ano passado, o pesquisador brasileiro Rafael Salema Marques comprovou que os dispositivos com Mac também possuem vulnerabilidades que podem ser exploradas pelo software sequestrador. Também já existem indícios de ataque de ransomware no sistema da Apple. No início de março, a Palo Alto Networks encontrou o malware junto com uma versão de Mac do Transmission, programa de gerenciamento de torrents.

Os dispositivos móveis também não escapam dos ransomwares. Recentemente, a empresa de segurança Symantec registrou uma onde de ataques de ransomware da família Android.Lockdroid, feita especialmente para o sistema operacional mobile do Google. O vírus bloqueia a tela do smartphone e, em seguida, abre uma janela onde explica que, para desbloquear os arquivos do aparelho, a vítima deve entrar em contato com o hacker para fechar uma acordo por meio de um serviço de mensagens do próprio malware.

No ano passado, também foram registrados os primeiros ataques de ransomwares contra servidores Web Linux. Neste caso, o vírus criptografava o website, deixando todo o conteúdo fora do ar. Como os ataques ainda são recentes, o método de infecção ainda não está claro.

Além do crescimento no número de plataformas e nos meios de infecção, o vírus também se espalhou geograficamente, atingindo países de menor poder financeiro, incluindo o Brasil, que foi a quarta maior vítima deste tipo de ataque em 2015. "Antes, os ransomwares atacavam países desenvolvidos, mas, por causa da facilidade, os cibercriminosos começaram a mirar em países menores economicamente", afirma Fabio Assolini da Kaspersky.

Alugue um Ransomware e divida os lucros com o hacker

O crescimento dos ataques de ransomwares também gerou um mercado que vai além dos sequestro direto de arquivos e que, consequentemente, aumenta ainda mais o número de ataques. O hacker conhecido como Fakben encontrou outra alternativa para ganhar dinheiro com o malware sequestrador: vendendo e alugando códigos de ransomware para novatos no mundo do cibercrime.

De acordo com Trend Micro, o negócio chamado Cryptolocker Service, que pode ser contratado na DeepWeb, promete que qualquer pessoa possa lançar ataques do tipo, contanto que o dono do código receba 10% dos ganhos.

As taxas de cobranças pelo aluguel do vírus podem variam e o gerente do Cryptolocker Service recomenda que os usuários peçam valores de resgate mais baixos, em torno de US$ 200, já que o malware não possui uma codificação pesada.

Segundo Fabio Assolini da Kaspersky, esta prática é conhecida como sistema de afiliados e também funciona com porta de entrada para novos hackers. "Neste sistema, um criminoso que ainda não sabe programar seu próprio malware consegue os códigos com alguém mais experiente e os dois trabalham em conjunto, dividindo os lucros no final do ataque".

Como se prevenir

Com todos esses meios de proliferação do ransomware, bem como outras ameaças digitais, se proteger completamente está cada vez mais complicado, mas algumas práticas podem ajudar a evitar os vírus que podem levar o seu computador a um bloqueio total.

É consenso entre os especialistas de segurança que o único critério de escolha dos hackers na hora de atacar com ransomwares é a facilidade. Se o usuário possui um sistema vulnerável, existem chances de ser atacado. Porém, como esse tipo de ataque envolve dinheiro, quanto maior o peixe, maior o banquete, o que acaba fazendo as empresas, hospitais e prefeituras as vítimas mais frequentes dos ransomwares.

Como o correio eletrônico ainda é o principal meio utilizado para a infecção por ransomware, nunca abra e-mails de fontes duvidosas ou desconhecidas. "Não existe espaço para curiosidade em segurança, se você recebeu um e-mail de quem não conhece, pense como se fosse uma carta normal. Se você não abriria uma carta de um desconhecido, por que abrir um e-mail?", aponta o gerente da Intel Brasil, Marcus Almeida.

Nunca abra e-mails de fontes duvidosas ou desconhecidas

Além disso, é necessário ter cuidado na navegação em redes wi-fi abertas e ser cauteloso na navegação pela internet, evitando fazer downloads em sites de confiança duvidosa.

No caso das empresas, os ataques acontecem principalmente em servidores e serviços remotos com baixa segurança. Logo, investir em um antivírus ou sistema de proteção abrangente é uma boa ideia e evitar uma grande dor de cabeça. Ataques de ransomware contra empresas e grandes corporações miram em valores a partir de US$ 4 mil. Com esse dinheiro, dá para contratar uma ótima equipe de TI, senhor empresário/prefeito/gerente de hospital.

Também é recomendado, para usuários comuns e empresariais, manter um backup dos principais arquivos em unidades de armazenamento externas ou serviços de nuvem.

Vale ressaltar, novamente, que, ao ser vítima de um ransomware, não é recomendado pagar o resgate pelos arquivos. Sempre é bom lembrar que estamos lidando com criminosos e, neste tipo de ataque, todo o poder está nas mãos do hacker e nada impede o atacante de simplesmente pegar o dinheiro e ão liberar o computador criptografado.

O Brasil está preparado para uma onda de ransomwares?

Segundo a previsão de cibersegurança da Norton, o ransomware será o crime digital que mais será usado no Brasil ao longo de 2016. Mas será que já estamos preparados para lidar com esse tipo de situação?

Como já foi citado, um dos alvos constantes dos ataques de ransomware no Brasil são as prefeituras, o que é bastante preocupante. Em 2015, os funcionários públicos da cidade de Pratânia, em São Paulo, ficaram algumas semanas sem pagamento por causa de um ataque. "Quando um órgão público para por causa de um ataque de ransomware, já é um indicação da falta de preparo, de que eles não tinham nem mesmo um backup", comenta Fabio Assolini da Kaspersky.

Como envolve sequestro de informação e quantias relevantes de dinheiro, o uso de ransomware é considero um crime de extorsão. De acordo com Nelson Barbosa, especialista em segurança da Norton e estudante de direito, a legislação do país ainda deve passar por um processo evolutivo para incluir os crimes digitais. "Em algumas capitais, já existem delegacias voltadas para crimes virtuais, mas ainda vai demorar um tempo para se tornar comum ver um cibercriminoso indo para a corte e sendo julgado".

Atualmente, ter um backup dos seus principais arquivos é essencial

Outro problema enfrentado pela autoridades na hora de encontrar um culpado é a geografia: os ataques de ransomware são enviados de outros países e quando o resgate é pago em bitcoins, localizar o cibercriminoso é muito improvável. Fabio Assolini, explica que, nomalmente, existe uma colaboração entre as empresas de segurança na internet e a polícia. "Enquanto a polícia age de forma nacional, a internet tem um caráter bastante globalizado, o que não impede que os hackers lancem um ataque da Europa para atingir o Brasil. Geralmente ocorrem colaborações entre especialistas na área e as forças da lei, para que as prisões dos cibercriminosos sejam efetivadas".

Neste cenário de crescimento de cibercrimes e pouco preparo de órgãos importantes da sociedade, tudo o que nós, meros usuários da internet, podemos fazer é ficar preparados, e nunca abrir e-mails da loteria ucraniana.

Fonte: Olhar Digital