Ransomware

Ransomware, (ransom- resgate + malware- software malicioso), é a forma mais popular de malware, que bloqueia ou nega, o acesso ao dispositivo ou encripta ficheiros, exigindo, de seguida, o pagamento para a devolução de documentos ou dados roubados. Apesar de ser um tipo de malware, não possui a capacidade de autorreplicação de um vírus.

As primeiras versões deste tipo de ataque virtual, surgiram no final dos anos 80, sendo o pagamento realizado através do envio do correio postal. Atualmente, este rasto é mais difícil de seguir, dado que o pagamento é, geralmente, feito em criptomoeda, um pagamento rápido e rentável.

A forma de infetar o computador é feita de diversos modos. No entanto, o método mais comum de infetar o seu device passa pelo spam malicioso, ou mal spam, que consiste no recebimento de emails não solicitados, utilizados para enviar malware, através de anexos armadilhados, tais como PDF´s ou documentos Word e, ainda, links para websites maliciosos, levando a vítima à abertura dos anexos ou dos links, aparentemente legítimos.

Da mesma forma, os cibercriminosos, utilizando a engenharia social, fazem-se passar por órgãos policiais, como o FBI, com o intuito de assustar os utilizadores, obrigando-os, assim, a pagar a quantia determinada para poderem desbloquear os ficheiros.

Um outro método de infeção popular, é o malvertising, que se refere à utilização de publicidade online com o propósito de distribuir malware, sem necessidade de interação ou com reduzida interação por parte do utilizador, visto que a vítima, ao navegar na Internet, pode ser direcionado para servidores criminosos sem ter clicado num anúncio.

Ressalva-se que, normalmente, o Ransomware escolhe uma extensão de ficheiro única para cada documento encriptado para que, dessa forma, seja garantida a não encriptação dos ficheiros em duplicado.

Inicialmente, as principais vítimas deste ataque virtual eram pessoas comuns. Contudo, os cibercriminosos começaram a compreender o potencial que tinham e começaram a expandir o ataque às empresas, onde toda a produtividade era parada, resultando em perdas de dados e receitas. Em termos de zonas geográficas prediletas, os autores deste tipo de ataque seguem o dinheiro, procurando, assim, áreas de riqueza relativa e de grande percentagem de utilização de computadores, ou, de igual forma, empresas com grande poder monetário.

A primeira variante do Ransomware a aparecer foi o DearCry/ DoejoCrypt, que copia e encripta os ficheiros, substituindo-os, e, posteriormente, eliminando os originais. A análise a este vírus, revelou que não existia defesa contra assinaturas antivírus.

Destacamos, então, os três grandes tipos de Ransomware:

Inclui software de segurança nocivo e assistência técnica fraudulenta. Acontece no momento em que recebe uma mensagem pop-up a informar que foi detetado malware no seu device e, a única forma de o eliminar, é através de um pagamento. Se não atuar sobre esta ameaça, o mais provável é continuar a ser bombardeado com este tipo de anúncios, ou, ainda, ser completamente bloqueado de fazer ações no seu computador. Contudo, os seus ficheiros estarão, basicamente, em segurança. De uma forma geral, os programas de software de cibersegurança não funcionam desta forma, ou seja, é impossível isto acontecer.

Quando este tipo de Ransomware invade o computador, significa que todo o acesso ao computador fica, inclusive as funções mais básicas, completamente, vedado e bloqueado. Nesta situação, quando o computador é iniciado, é aberta uma janela, acompanhada por um selo oficial do FBI ou do Departamento de Justiça, informando que foi detetada uma atividade ilegal no seu dispositivo, sendo crucial o pagamento de uma determinada quantia. Todavia, nunca nenhum órgão judicial ou político iriam impedir o acesso ao seu computador, ou exigir o pagamento de uma multa por atividade ilegal.

Um dos mais perigosos, visto que se apodera dos ficheiros, encriptando-os e, posteriormente, exige o pagamento de um montante para que seja possível a sua decriptação e, consequente, devolução. No entanto, após os hackers se apoderarem destes dados sigilosos, nenhum software de segurança lhos devolve. Mesmo que seja efetuado o pagamento, geralmente, nunca mais os vê, não havendo garantia de devolução.

Outros géneros de software maligno, do tipo Ransomware:

Dos que pode causar mais prejuízo. O “WannaCry” crypto-ransomware, que afeta o sistema operativo Microsoft Windows, colocou milhares de vidas em perigo, quando atingiu vários hospitais por todo o mundo, impedindo o acesso dos profissionais de saúde aos arquivos dos pacientes.

Variante de Ransomware, onde o invasor ameaça publicar todas as informações confidenciais roubadas online, caso não seja efetuado um pagamento.

Hospedado anonimamente por um hacker que cuida de todo o processo, em troca de uma parte do resgate.

Apareceu pela primeira vez em fevereiro de 2016, enviado para milhões de utilizadores como sendo uma fatura ou recibo de pedido, via email, como spam. Estes, continham um documento Word ilegível, solicitando que os utilizadores permitissem macros para exibir o conteúdo. Após concedido, o malware era descarregado, começando a sua atuação, bloqueando o computador até que o resgate fosse pago.

Definido como um kit de ferramentas disponível sem qualquer custo para todos os indivíduos que pretendem-se fazer o download, é distribuído através de um anexo de email ou de um link, que permite o cancelamento de uma assinatura num email de spam. Ao clicar no link, a vítima é redirecionada para o anexo, sendo instalado o Ransomware, este que pode atuar mesmo que o computador esteja sem ligação à internet.

Caracterizado pela personalização da nota de resgate, através da utilização dos dados encontrados no computador do utilizador, desde nome, data de nascimento, localização, informações em redes sociais, detalhes do sistema e endereço IP, entre outros, sendo um método que aumenta a pressão no utilizador. Após a recolha de todos os dados, bloqueia o dispositivo, exigindo o pagamento no prazo de 24 horas.

Um dos Ransomware mais destrutivos. Após a encriptação dos ficheiros, o software malicioso começa a apagar sistematicamente os ficheiros até que estes sejam pagos, por um período de 72 horas. Uma vez terminado o tempo estipulado, todos os ficheiros que foram encriptados são eliminados.

Conhecido por ter infetado muitas empresas em toda a Rússia e Europa Oriental, espalha-se, normalmente, através de uma falsa atualização da aplicação Adobe Flash.

Uma das mais antigas variantes deste tipo de ciberataque, surgiu em 2013, quando os hackers usaram a abordagem original do robot CryptoLocker no Ransomware. Através da utilização de algoritmos fortes de encriptação, é quase impossível o restauro do computador e a desencriptação dos ficheiros, sem que seja pago o resgate.

Tipo especial de Ransomware que encripta os ficheiros em unidades fixas, móveis e unidades de rede, espalhando-se através de anexos de email maliciosos, com extensão de ficheiro duplo. Tal como a variante anterior, utiliza algoritmos de encriptação forte, dificultando a sua desencriptação no período de tempo desejável.

Tem como principal alvo a área de recursos humanos. Dissemina-se a partir do download de um ficheiro que se encontra infetado. Quando a vítima descarrega o ficheiro, é lançado uma macro que encripta todos os ficheiros presentes no device.

A maioria destes modelos de Ransomware, tiveram um princípio comum, a Ameaça Persistente Avançada (APT). Esta, após introduzida no ambiente através de um ataque phishing, mantêm-se escondida no ambiente de trabalho, ao mesmo tempo que a APT faz o reconhecimento necessário para encontrar contas de utilizadores e dados úteis para poderem ser roubados, bem como localiza recursos para infetar, deslocando-se através de protocolos expostos pelo ambiente. Assim que todo o processo esteja concluído, o Ransomware é lançado, começando a infetar o ambiente, principalmente se existir uma exposição a redes públicas, como a Internet.

Durante a pandemia, e a consequente exigência de um trabalho maioritariamente remoto, a exposição a redes públicas e a resultante falta de segurança assegurada pelas organizações, aumentou o nível de exteriorização e os pontos de entrada para as ameaças.

A regra essencial a seguir em caso de ataque de Ransomware é nunca pagar o resgate, tendo sido uma recomendação aprovada pelo FBI. Com o pagamento do resgate, os criminosos sabem que podem contar com a colaboração das vítimas em termos monetários, lançando ataques adicionais.

As ameaças virtuais estão a evoluir a um ritmo exorbitante. Segundo a S21sec, durante o primeiro semestre de 2021, foram vários os ataques de Ransomware, esta que continuará a ser uma tendência que afetará muitas mais empresas até ao final do ano. Isto leva a que seja utilizado um maior controlo de segurança, como a autenticação de dois fatores, a fim de mitigar estes ataques digitais. Pode, ainda, tentar reiniciar o computador, não sendo garantida a remoção do software quando o computador voltar a ligar. Neste sentido, com o intuito de se proteger contra este tipo de malware, é crucial seguir os seguintes passos:

• Mantenha-se particularmente vigilante;
• Verifique se o seu sistema se encontra mais lento sem motivo aparente;
• Assegure-se de que os seus sistemas e softwares estão atualizados, através, preferencialmente, da instalação automática, evitando, desta forma, esquecimentos;
• Tenha um bom software antivírus;
• Realize, regularmente, cópias de segurança dos seus dados, quer nas unidades externas, quer em armazenamento em Cloud;
• Utilize, sempre que possível, a VPN.

Ainda, e com a ajuda certificada da ActiveSys:

• Conte com um programa de segurança da informação eficaz;
• Aplique as melhores práticas tecnológicas;
• Aplique estratégias de Backup eficazes;
• Eduque os colaboradores a fim de proteger os seus dados e devices.

Em todo o caso, o melhor a fazer é solicitar os conselhos de especialistas, como o caso da ActiveSys que encontrará a melhor forma de solucionar o problema e, consequentemente, arranjar barreiras que evitam outros potenciais ataques de Ransomware.

ActiveSys, we activate your business.