Ransomware é um malware que tem a função de criptografar todos os dados da vítima, exigindo um valor de resgate a ser pago em determinado tempo, em que o usuário corre o risco de perder todos os seus arquivos. O primeiro ransomware, utilizado em 1989, foi apelidado de AIDS Trojan e infectou 20 mil disquetes.
Desde então, o ransomware evolui conforme o avanço da tecnologia, utilizando a internet e e-mails para espalhar se espalhar pelos computadores. No entanto, ainda segue o mesmo script previsível, não muito diferente do original AIDS Trojan.
Infelizmente, os cibercriminosos viram como o ransomware pode ser lucrativo. Cada ataque pode render centenas de milhares de dólares, ou até mais. Eles testam os limites de quão rápido conseguem receber os pagamentos de indivíduos ou organizações despreparadas. Recentemente, fomos apresentados a um diferente vetor de ataque com o WannaCry. Ao invés de utilizar o ataque de phishing, os hackers tiraram proveito da EternalBlue, ferramenta da NSA, que se espalha de ponta a ponta dentro da empresa.
O resultado? O WannaCry foi o maior e mais rápido ataque já visto. Entretanto, alguns especialistas em segurança já discutem se o último ataque NotPetya é ainda mais fatal que o WannaCry.
Nesse guia, vamos te ajudar a entender melhor o papel do bitcoin no ransomware, diversos tipos de ransomware, vetores de ataque e abranger alguns métodos de mitigação.
Como Ransomware e bitcoin estão relacionados
O bitcoin é associado ao ransomware porque os hackers, normalmente, pedem para que os pagamentos sejam feitos dessa forma. Bitcoin é uma espécie de moeda digital que permite o usuário comprar, anonimamente, bens e serviços. É possível enviar bitcoins por meio de aplicativos de celular ou computador.
Cada transação de bitcoin fica em um registro público. Os nomes de compradores e vendedores são anônimos – apenas o ID da carteira é revelado. E isso permite que compradores e vendedores façam negócios de qualquer tipo.
Para realizar o pagamento de bitcoins, as vítimas são alertadas a fazer o download de navegadores anônimos, como o Tor2web ou Torproject, a fim de visitar uma URL hospedada em um servidor anônimo. O Tor (The Onion Router) dificulta o rastreamento da localização do servidor ou de identificar o operador.
Você deve pagar?
Alguns especialistas dizem que sim. O agente especial responsável pelo FBI’s CIBER e o Programa de Contra-inteligência, Joseph Bonavolonta, afirma que sempre aconselha vítimas a fazer o pagamento. Segundo ele, o sucesso do ransomware acaba beneficiando as vítimas, pois, quando muitas pessoas efetuam o pagamento, o autor do ataque fica menos inclinado a cobrar um valor muito alto de uma única vítima.
Já outros profissionais discordam de Bonavolonta. Eles afirmam que não há garantia alguma de que o hacker vai devolver os arquivos para a vítima. Além disso, isso contribui para que o problema se prolongue e faz com que você se torne um alvo para outros ataques. E, se for infectado com uma força defeituosa, como a Power Worm, você não terá seus arquivos de volta, independentemente de ter realizado o pagamento.
Vetores de Ataque
Novos tipos de ransomware são desenvolvidos constantemente, inclusive usando vetores de ataque que não são como os que conhecemos. Profissionais de segurança dizem que os ataques não precisam ser complicados. Pode ser algo tão simples quanto um link enviado por e-mail ou um anexo e isso é o que a maioria dos ransomwares utilizam para entrar em uma rede.
O ransomware as a service também tem crescido, trata-se de quando um hacker vende seu malware a outros cybercriminosos, aumentando a frequência de ataques. Para combater esse problema, as empresas devem investir em novas estratégias de mitigação.
O que fazer depois de ser infectado
Muitas pessoas só percebem que foram infectadas quando aparece uma mensagem de aviso do ransomware. No momento em que você descobre que foi infectado pelo malware, a primeira coisa a fazer é desligar a máquina ou desconectá-la da internet.
Se decidir não pagar o hacker para recuperar seus dados, faça uma varredura completa no seu computador com um antivírus ou anti-malware para remover todos os arquivos maliciosos. Também é possível usar a PowerShell ou outra ferramenta que identifique arquivos criptografados. Porém, com uma nova versão de ransomware a cada semana, é um pouco difícil conseguir recuperar tudo. Portanto, é recomendado que recupere os arquivos de um backup.
Métodos de Mitigação
O UBA (User Behavior Analytics) se tornou medida essencial para prevenção de ransomware. O programa é especializado em identificar o desconhecido. O UBA se baseia no comportamento normal dos usuários e, quando alguma ação fora do comum é identificada, o responsável pelo TI é imediatamente alertado.
O UBA utiliza uma abordagem de sistema cruzado, que identifica comportamentos anormais nos arquivo e ações estranhas no e-mail ou login. O diferencial do UBA é se basear no contexto. É como se o UBA fosse um File System Monitoring 2.0.
Conheça o DatAdvantage, da Varonis, e veja como podemos ajudá-lo a garantir que apenas as pessoas certas tenham acesso aos seus dados.