A evolução do ransomware

Embora muitas empresas e usuários não vejam o ransomware como uma nova ameaça, muitos não sabem a quanto tempo esse estilo de infecção é utilizado por hackers.

Os primeiros ataques ocorreram há mais de uma década e, desde então, os autores de ransomwares se tornaram mais sofisticados e criativos ao estabelecer amostras avançadas de bloqueio ou criptografia.

Algo que agrava o problema das amostras cada vez mais perigosas é o fato de que os agentes maliciosos por trás dos ataques agora exigem resgates maiores. E, em alguns casos, mesmo depois de um resgate particularmente caro, os arquivos e dados permanecem inacessíveis para as vítimas.

O primeiro passo em direção à proteção e prevenção é o conhecimento, por isso é fundamental que os líderes empresariais e funcionários entendam essa ameaça desenfreada. Hoje, vamos analisar em detalhes história e a evolução do ransomware.

História antiga: Os primeiros ataques

De acordo com o trabalho de pesquisa da Trend Micro, Ransomware: Passado, Presente e Futuro, algumas das primeiras infecções de ransomware ocorreram há mais de 10 anos, em 2005 e 2006. Esses casos envolveram vítimas na Rússia, usando compressão para impedir o acesso a arquivos protegidos por senha nos endpoints das vítimas. Essas infecções também incluíram o upload de um arquivo nos computadores das vítimas para mostrar o bilhete de resgate, que exigia US$ 300 dólares para devolver o acesso aos dados e arquivos.

Essas amostras iniciais de ransomware não eram executadas exatamente da maneira que as amostras de hoje em dia. Muitas vezes, o ransomware mais comum sobre o qual temos notícia hoje pode ser divido em duas categorias: ransomware de bloqueio e ransomware de criptografia. Em ambos os casos, as vítimas não conseguem abrir e recuperar arquivos e dados. Como seus nomes indicam, o ransomware de bloqueio bloqueia o sistema operacional e evita o acesso dessa forma, enquanto que o de criptografia usa algoritmos robustos de criptografia e, em seguida, exige um resgate pela chave de descriptografia.

No entanto, as primeiras amostras do ransomware só conseguiam bloquear arquivos específicos, mas os agentes do malware faziam com que seu código malicioso segmentasse alguns dos arquivos mais usados, incluindo .JPG, .PDF, .ZIP e .DOC.

As infecções de ransomware evoluíram consideravelmente ao longo da última década.

Tornando-se famoso: Bilhetes apavorantes de resgate

Passaram-se alguns anos e o ransomware se tornou cada vez mais sofisticado e impactante. Em 2012, vimos algumas das primeiras infecções que usavam o medo para receber um pagamento. Em 2012, atacantes da Rússia e da Europa utilizaram uma artimanha que envolvia bilhetes de ransomware que pareciam ser avisos legítimos das autoridades policiais. Essa tática fez com que as vítimas acreditassem que haviam infringido a lei de alguma forma e tivessem que pagar uma multa para resolver o assunto.

Esta estratégia baseada no medo foi usada por muitos anos e chegou até em plataformas móveis. Em 2015, o colaborador do The Register, John Leyden, escreveu sobre uma amostra de ransomware no Android que exibe uma mensagem que parece ser do FBI.

“A tela inicial do dispositivo envia uma mensagem falsa do FBI dizendo que o usuário cometeu um crime ao acessar sites pornográficos. Para tornar a mensagem mais convincente, os hackers adicionam capturas de tela do suposto histórico de navegação. O aviso fica mais assustador, pois afirma ter capturas de tela do rosto das vítimas e saber a localização dela”, o chefe de estratégia da Bitdefender, Catalin Cosoi disse a Leyden.

Além disso, esta amostra conseguia aumentar o preço do resgate com base nas respostas das vítimas. O resgate inicial era de US$ 500 dólares, mas os hackers exigiam US$ 1.500 dólares daqueles que tentavam ignorar o FBI falso e desbloquear seus dispositivos. Este tipo de ransomware é bem mais avançado que as amostras iniciais, mas incrivelmente básico em comparação aos atuais.

O cryptoransomware chega com tudo

Com o passar do tempo, os agentes de malware começaram a utilizar métodos cada vez mais prejudiciais para incentivar as vítimas a fazer o pagamento. Em 2013, os hackers não apenas bloqueavam arquivos e impediam o acesso com demandas de resgate na tela. Foi neste ano que surgiram amostras do cryptoransomware, que podia eliminar e bloquear dados.

“Esta ameaça não apenas criptografa arquivos, como também exclui os arquivos se as vítimas se recusarem a pagar”, observou a Trend Micro. “Para obter os arquivos de volta, as vítimas tinham que pagar diversos valores de resgate em bitcoins para receber a chave de descriptografia”.

“A remoção de dados pode fazer com que a empresa entre em colapso, então as vítimas foram consideravelmente motivadas a pagar”.

Este tipo de ransomware era incrivelmente impactante quando se tratava de empresas desprotegidas e despreparadas. A remoção de dados nesse tipo de ataque pode fazer com que a empresa entre em colapso, então as vítimas foram consideravelmente motivadas a pagar

Novas demandas de resgate

Já vimos casos em que as organizações pagam o resgate, mas o resultado desejado – acesso aos arquivos e dados – na verdade não acontece. Em 2016, o colaborador da Health IT News, Bill Siwicki, falou sobre uma infecção ransomware que ocorreu em um hospital do Kansas. Nesse caso, a instituição de saúde pagou o resgate inicial, mas não recebeu seus dados, como prometido. Em vez disso, os hackers exigiram um segundo resgate, que o hospital não pagou.

“As demandas por pagamento estão aumentando e o problema é que as organizações estão pagando. O ransomware vai piorar antes de melhorar”, disse o vice-presidente da Fortinet, Ryan Witt. “Não queremos pensar sobre o ROI das atividades criminosas, mas há um ROI muito bom, e esses atacantes são muito sofisticados e sabem que dá para ganhar muito dinheiro”.

Uma superfície de ataque global: WannaCry e Petya

Uma família que certamente não se tornará uma nota de rodapé na evolução do ransowmare é a WannaCry. A CSO chamou a infecção “uma tempestade perfeita de ransomwares”. Com seu alcance extensivo e vítimas de alto perfil, não é difícil entender o porquê.

O WannaCry se espalhou por redes em vários países diferentes em maio de 2017 e se tornou rapidamente uma das ameaças de ransomware mais difundidas até o momento. A amostra usou uma vulnerabilidade do Windows, a EternalBlue, que foi vazada pelo grupo de hackers Shadow Brokers, e atacou empresas, organizações de saúde, empresas de serviços públicos e outras organizações na Europa, Japão e outros.

Logo após o WannaCry, tivemos Petya, que, como The Guardian apontou, representou o segundo maior ataque global de ransomware no espaço de apenas oito breves semanas. A Petya também usou a mesma vulnerabilidade do Windows, mas tinha um segundo plano caso uma correção fosse instalada: o ransomware também procurava pontos fracos nas ferramentas administrativas do Windows para potencializar o ataque.

O futuro dos ransomwares

Os especialistas não acreditam que o fim do ransomware está próximo. Na verdade, a Trend Micro previu no seu Relatório de Previsões de Segurança de 2018 que o Ransomware “deve causar ainda mais estragos”, particularmente devido ao aumento da popularidade de ransomwares-como-um-serviço em mercados clandestinos.

Neste ambiente no qual o ransomware permanece como uma ameaça perigosa, empresas e usuários devem proteger seus dados e recursos com soluções de segurança de multi-camadas, juntamente com backups robustos.

Para mais informações sobre como se proteger de ransomwares, entre em contato com os especialistas de segurança da Trend Micro.