O que é ransomware?

O ransomware vem em duas formas principais: ransomware de criptografia e ransomware de bloqueio.

Ransomware de criptografia
Quando uma pessoa física ou organização são vítimas de um ataque de ransomware de criptografia, o invasor criptografa os dados ou arquivos confidenciais da vítima para que esta não possa ter acesso, a menos que pague um resgate. Em tese, assim que a vítima paga, o invasor entrega uma chave de descriptografia que lhe dá acesso aos arquivos ou dados, mas não há nenhuma garantia. Muitas organizações perderam o acesso a seus arquivos permanentemente, mesmo depois de pagar o resgate.

Ransomware de bloqueio
No ransomware de bloqueio, agentes mal-intencionados bloqueiam o acesso de uma vítima ao seu dispositivo e apresentam um bilhete de resgate na tela, com instruções sobre como pagar um resgate para recuperar o acesso. Essa forma de ransomware não costuma envolver criptografia. Portanto, assim que a vítima recupera o acesso ao seu dispositivo, todos os arquivos e dados confidenciais estão preservados. O ransomware de bloqueio é comumente usado em dispositivos móveis.

Essas duas formas principais de ransomware se enquadram nos seguintes subtipos:

Scareware
O scareware usa o medo para fazer com que as pessoas paguem um resgate. Nesses tipos de ataques cibernéticos, os agentes mal-intencionados se apresentam como se fossem uma delegacia de polícia e enviam uma mensagem à vítima acusando-a de um crime e exigindo uma multa.

Doxware
No Doxware, os agentes mal-intencionados roubam informações pessoais e ameaçam revelá-las publicamente se um resgate não for pago.

Ransomware de dupla extorsão
No ransomware de dupla extorsão, os invasores não apenas criptografam arquivos, mas também roubam dados confidenciais e ameaçam liberá-los publicamente se o resgate não for pago.

Limpadores
Os limpadores ameaçam destruir os dados da vítima se o resgate não for pago.

A maioria dos ataques de ransomware segue um processo de três etapas.

1. Obter acesso
Os agentes mal-intencionados usam vários métodos para obter acesso aos dados confidenciais de uma empresa. Um dos mais comuns é o phishing, em que os criminosos cibernéticos usam emails, mensagens de texto ou chamadas telefônicas para enganar as pessoas e fazer com que forneçam suas credenciais ou baixem malware. Os agentes mal-intencionados também visam funcionários e outros usuários com sites mal-intencionados, que usam o que é conhecido como "kit de exploração" para baixar e instalar malware automaticamente no dispositivo da vítima.

2. Criptografar dados
Assim que obtêm acesso aos dados confidenciais, os invasores usando ransomware os copiam e destroem o arquivo original, juntamente com os backups que conseguiram acessar. Em seguida, criptografam sua cópia e criam uma chave de descriptografia.

3. Exigir um resgate
Após tornar os dados inacessíveis, o ransomware entrega uma mensagem por meio de uma caixa de alerta, que explica que os dados foram criptografados e solicita dinheiro, normalmente em criptomoeda, em troca da chave de descriptografia. Os agentes mal-intencionados por trás desses ataques também podem ameaçar liberar os dados para o público se a vítima se recusar a pagar.

Além da interrupção imediata das operações, as consequências de um ataque de ransomware podem incluir perdas financeiras significativas, danos à reputação e desafios operacionais de longo prazo.

Implicações financeiras
O custo de pagar um resgate pode ser substancial, geralmente chegando aos milhões de dólares, e não há nenhuma garantia de que os invasores fornecerão a chave de descriptografia ou de que ela funcionará corretamente.

Mesmo quando as organizações se recusam a pagar o resgate, o custo financeiro ainda pode ser grande. A perturbação causada por um ataque de ransomware pode resultar em um tempo de inatividade prolongado, afetando a produtividade e, possivelmente, resultando em perda de receita. A recuperação de um ataque envolve despesas adicionais, incluindo o custo de investigações forenses, honorários advocatícios e investimentos em medidas de segurança aprimoradas.

Danos à reputação
Os clientes e parceiros podem perder a confiança em uma empresa que foi comprometida, levando a um declínio da fidelidade de clientes e à possível perda de negócios futuros. Os ataques sofisticados geralmente atraem a atenção da mídia, o que pode danificar a reputação e a imagem de marca de uma empresa.

Desafios operacionais
Mesmo com backups, existe um risco de perda de dados ou corrupção, o que pode afetar a continuidade dos negócios e a eficiência operacional. As empresas também podem ser submetidas a penalidades legais e regulatórias por não proteger dados confidenciais, especialmente se estiverem sujeitas a regulamentos de proteção de dados, como o Regulamento Geral sobre a Proteção de Dados da União Europeia ou a Lei de Privacidade do Consumidor da Califórnia.

Muitos dos ataques de ransomware sofisticados operados por humanos são realizados por grupos de ransomware, que operam usando um modelo de negócios de ransomware como serviço.

 

• Desde seu surgimento em 2019, o LockBit tem visado vários setores, incluindo serviços financeiros, saúde e manufatura. Esse ransomware é conhecido por sua capacidade de se autopropagar dentro de redes, o que o torna particularmente perigoso. Os afiliados do LockBit têm sido responsáveis por vários ataques sofisticados, usando técnicas avançadas para criptografar dados e exigir resgates. 
• Os ataques BlackByte geralmente envolvem uma dupla extorsão, em que criminosos cibernéticos criptografam e exfiltram dados e ameaçam publicar os dados roubados se o resgate não for pago. Esse ransomware vem sendo usado para visar setores críticos de infraestrutura, incluindo serviços governamentais e financeiros.
• O grupo por trás do ransomware Hive, que estava ativo entre junho de 2021 e janeiro de 2023, empregou a dupla extorsão e, tipicamente, visou instituições públicas e infraestrutura crítica, incluindo clínicas e hospitais. Em uma vitória significativa contra crimes cibernéticos, o FBI se infiltrou na rede do Hive em 2022, capturando chaves de descriptografia e impedindo o roubo de mais de US$ 130 milhões em exigências de resgate. 
• O ransomware Akira é um malware sofisticado que está ativo desde o início de 2023 e visa tanto os sistemas Windows quanto Linux. Os agentes mal-intencionados usam o Akira para obter acesso inicial por meio de vulnerabilidades em serviços VPN, especialmente as que não têm autenticação multifator. Desde seu aparecimento, o Akira afetou mais de 250 organizações e reivindicou aproximadamente US$ 42 milhões em receita de ransomware.

 

Caso você seja vítima de um ataque de ransomware, existem opções de recursos e remoção.

Isole os dados infectados
Assim que for possível, isole os dados comprometidos para ajudar a evitar que o ransomware se espalhe para outras áreas da sua rede.

Execute um programa antimalware
Assim que tiver isolado todos os sistemas infectados, use um programa antimalware para remover o ransomware.

Descriptografe arquivos ou restaure backups
Se possível, use as ferramentas de descriptografia fornecidas pela polícia ou por pesquisadores de segurança para descriptografar os arquivos sem pagar o resgate. Se a descriptografia não for possível, restaure os arquivos de seus backups.

Reporte o ataque
Entre em contato com a polícia local ou federal para denunciar o ataque. Nos Estados Unidos, são os escritórios em campo locais do FBI, o IC3,ou o Serviço Secreto. Embora provavelmente não resolva nenhuma de suas preocupações imediatas, essa etapa é importante porque essas autoridades rastreiam e monitoram ativamente os diferentes ataques. Fornecer detalhes sobre sua experiência poderá ser útil para os esforços de encontrar e processar um criminoso cibernético ou um grupo de criminosos cibernéticos.

Seja cauteloso ao pagar o resgate
Embora possa ser tentador pagar o resgate na esperança de remover o problema, não há garantia de que os criminosos cibernéticos manterão sua palavra e lhe concederão acesso aos dados. Especialistas em segurança e delegacias de polícia recomendam que as vítimas de ataques de ransomware não paguem os resgates solicitados, porque fazer isso pode deixar as vítimas vulneráveis a ameaças futuras e apoiar ativamente uma indústria do crime.

Os pesquisadores de segurança esperam que o ransomware continue a crescer em frequência e complexidade nos próximos anos. Os avanços na IA estão tornando mais fácil para os criminosos cibernéticos automatizar e aprimorar seu ransomware rapidamente. E mais pessoas com habilidades técnicas limitadas estão entrando no ramo porque podem comprar ferramentas de ransomware orientadas por IA na dark web ou fazer parceria com uma organização de ransomware como serviço.

As organizações cibercriminosas maiores e mais sofisticadas, incluindo agentes de estados-nações, também estão visando cada vez mais a infraestrutura crítica e as cadeias de fornecimento, resultando em perturbações significativas das operações de empresas e municípios. Essas entidades costumam visar governos, sistemas de transporte e organizações de saúde com o objetivo de paralisar os serviços.

Para se contrapor a essas ameaças em constante evolução, as organizações estão adotando a IA para segurança cibernética para ajudá-las a detectar e responder aos ataques de ransomware com rapidez e eficácia. Essas tecnologias analisam vastas quantidades de dados para identificar padrões e anomalias que possam indicar um ataque de ransomware. Muitas dessas soluções também podem responder automaticamente às ameaças detectadas, reduzindo o tempo necessário para mitigar um ataque.

O modelo de segurança de Confiança Zero também está ganhando impulso como uma maneira de aprimorar a segurança cibernética e limitar a disseminação do ransomware e outras atividades mal-intencionadas.