Na era da internet, é fundamental saber o que é ransomware e como esse vírus pode te prejudicar. Um ransomware é uma modalidade de malware capaz de sequestrar dados e bloquear o computador infectado. O objetivo desta manobra é um pedido de resgate para o dono do computador ou administrador da empresa.
A transação de resgate é feita geralmente com criptomoedas para evitar que o responsável pelo crime seja identificado. Uma das moedas utilizadas no resgate é o bitcoin. Além disso, a extorsão pode ir além e o hacker pode fazer o vazamento de dados importantes da empresa a fim de pressionar ainda mais para o pagamento do resgate.
Sabendo que esse vírus possui um potencial agressivo de prejudicar usuários comuns e empresários, dedicamos esse conteúdo para tratar desse assunto sério. Veja neste artigo, o que é ransomware e como ele funciona, quais são os tipos mais perigosos de ransomware e tudo que você pode fazer para se prevenir desta modalidade de ataque.
O que é ransomware?
Um ransomware é uma forma específica de malware capaz de invadir um computador e sequestrar o acesso à máquina ou sistema. No inglês, “ransom” significa “resgate”, e a prática de extorsão é feita com sucesso por cibercriminosos. O cibercriminoso entra em contato com o dono do computador ou administrador da empresa para negociar o resgate.
O vírus age criptografando o disco e bloqueando a tela. Mesmo que o dono do computador desmonte a máquina e tente ativar a memória de armazenamento em outro dispositivo, a memória estará criptografada. Enquanto o resgate não for negociado, o acesso aos dados armazenados não será liberado pelo hacker.
A história do ransomware
Em 1989, os primeiros casos de ataque com ransomware foram relatados, mas sem confirmações oficiais. Somente em 2005 na Rússia, os primeiros casos oficiais de cibercrime por meio de ransomware foram identificados. Entre os anos de 2011 e 2016, essa modalidade de ataque ganhou notoriedade e em 2017 ocorreu um dos maiores ataques de ransomware da história. Vamos falar mais sobre esse ataque ainda neste artigo.
Como um ataque de ransomware funciona?
Uma infecção por ransomware é estratégica, gradual e funciona com sutileza. Primeiro, o malware ganha acesso ao dispositivo através de alguma brecha. Uma vez no computador, o vírus infecta o Windows e passa a codificar importantes dados do usuário da máquina. Essa ação de codificação acontece em segundo plano e passa despercebida pelo antivírus.
Assim que todos os dados estiverem codificados e o ransomware estiver concluído sua função, não terão mais sutilezas! Com os dados codificados, um pop-up aparece na tela do usuário com um aviso de bloqueio. Na mensagem, ficará explícito que a máquina foi hackeada e o acesso só será liberado mediante o pagamento.
Esse mecanismo de contágio só consegue ser bem-sucedido devido à vulnerabilidade do sistema e das ações do usuário. Ou seja, um mesmo ransomware pode obter sucesso em uma máquina e em outra não. Alguns sistemas são mais protegidos que outros. No entanto, o ideal é que a máquina não seja infectada, e atitudes simples do usuário podem evitar isso.
Ainda neste artigo vamos ensinar como você pode proteger seu computador e todo um sistema empresarial contra uma infecção por ransomware.
Categorias de ransomware
Quando nos aprofundamos no assunto ransomware e os danos que essa modalidade de vírus pode causar, é importante entender bem o assunto. A primeira informação que devemos observar é que existem duas formas de ransomware: ransomware de criptografia e ransomware de bloqueio. Veja a diferença entre eles:
- Ransomware de criptografia – funciona criptografando arquivos do usuário da máquina ou de diversos usuários do sistema de uma empresa.
- Ransomware de bloqueio – o ataque afeta algumas funções básicas do computador visando obter acesso à memória, armazenamento de dados, câmera, microfone, dentre outros.
Dentre as modalidades de ransomware, temos as seguintes categorias de ataque:
- Diskcoder – Esse ransomware vai criptografar o disco e só permite o acesso ao usuário mediante um pagamento;
- Screen Locker – O objetivo deste vírus é bloquear o acesso à tela do dispositivo;
- Crypto-ransomware – Criptografa dados específicos armazenados no computador e os utiliza para extorsão;
- PIN Locker – Esse ransomware visa infectar dispositivos Android e modifica o código de acesso do aparelho, seja um smartphone, tablet ou outro.
Alguns desses ataques não são iniciados assim que o dispositivo é infectado. Existe ransomware que só começa a agir após a 90ª reinicialização do aparelho, seja dispositivo móvel ou computador. O objetivo desta estratégia é permanecer o máximo de tempo oculto para que a origem da infecção não seja revelada.
Seja qual for a modalidade de ransomware, um vírus assim é um dos mais perigosos que existem, pois, alguns deles não necessitam que o usuário tenha alguma ação direta para que a infecção ocorra.
A maioria dos malwares precisam que o usuário clique em algo ou instale um arquivo para que a infecção ocorra. Com um ransomware, a infecção pode acontecer sem que o usuário ou administrador cometa nenhum erro.
A seguir, veja um pouco mais sobre as categorias de ransomware e como eles infectam um computador:
Exploit – Um exploit é um código pré-escrito criado para ter acesso a pontos cegos da segurança do sistema. Um kit contendo diversos códigos projetados com essa finalidade consegue encontrar brechas em computadores, dispositivos móveis e em uma rede de dados compartilhada.
Social – Esse é um modelo de golpe mais atualizado e permite aos criminosos um método de infecção por meio de engenharia social. Ou seja, com truques corriqueiros, o especialista convence usuários a baixar algum arquivo de uma URL “confiável” e assim infectar a máquina.
Phishing – Se passando por um contato confiável, esse ataque ocorre por meio de um email contendo um anexo contaminado. Quando o usuário verifica o anexo, que pode ser uma extensão .docx, .pdf, .xls, dentre outras, o ransomware começa agir.
Malvertising – Essa modalidade de infecção com malware está vinculada aos anúncios online. O malvertising é uma das formas mais bem-sucedidas de infectar uma máquina, visto que os anúncios estão espalhados por diversos ambientes online em sites e aplicativos.
Transferência secreta – Ao acessar um site projetado para infectar máquinas vulneráveis, um download secreto se inicia sem que o usuário perceba. Uma das formas de se proteger contra essa forma de infecção é manter o sistema sempre atualizado.
Scareware – Esse software emite uma mensagem falsa para o usuário do computador relatando problemas técnicos. As mensagens aparecem em forma de pop-ups e outros alertas sobre problemas. Alguns scareware são bloqueadores de tela de dispositivos móveis e computadores.
O que é ransomware WannaCry?
Em maio de 2017, o ataque massivo conhecido como WannaCry foi um dos mais marcantes da história. Milhares de computadores com sistema operacional Windows tiveram arquivos relevantes sequestrados e mantidos como reféns. A moeda exigida para o resgate nesse episódio foi o bitcoin.
O ransomware WannaCry é um software malicioso (família do malware) muito explorado por cibercriminosos em golpes de extorsão. Desta forma, arquivos importantes são criptografados e você só os recupera mediante ao pagamento exigido em criptomoeda.
Assim como outro ransomware específico para criptografia, o WannaCry vai fazer seus arquivos importantes de refém. Esses dados sequestrados serão utilizados como moeda de troca por valores. Quem sabe, a extorsão seja por outras informações relevantes de sua empresa ou de seus clientes.
Esse vírus poderoso visa computadores que rodam sistema Windows. Os dados ficam vulneráveis em um sistema operacional da Microsoft, mas isso não garante que outros sistemas também não possam ser infectados.
Quais são os principais alvos dos ataques?
O principal alvo de um ataque por meio de ransomware são empresas de grande porte. Empresários bem-sucedidos podem arcar com quantias elevadas de pagamento por resgate e são os principais alvos. Usuários comuns e simples empreendedores também são vítimas.
Casos recentes de ransomware
Um caso recente e bem famoso foi o do canal Ei Nerd, apresentado pelo youtuber Peter Jordan. O dono e apresentador do canal foi hackeado em dezembro de 2020. No episódio, Peter teve que entrar em contato com o Google para resolver o problema e avisou o seu público por meio de outras redes sociais sobre o ocorrido.
Um relato feito pelo próprio apresentador revela que um funcionário teria acessado um pen drive em um dos terminais da empresa sem que o dispositivo fosse verificado junto ao antivírus.
Outro ataque famoso ocorreu no Texas, EUA, e fez 23 organizações governamentais vítimas de uma mega ação de ransomware. Esse ataque massivo foi um dos mais sofisticados em infraestrutura de cidade, e pouco ainda se sabe sobre os danos causados ou dados roubados.
Em 2021, a JBS, empresa brasileira especializada em alimentos, foi alvo de um sequestro de dados. O ataque prejudicou a atividade da empresa fora do país e um resgate foi pago neste episódio.
Como evitar um ataque de ransomware em sua empresa?
Prezar por soluções de cibersegurança é fundamental para o empresário do mundo moderno. Investir em infraestrutura e segurança de dados é fundamental, um assunto relevante que deve estar pautado já no plano de negócio da empresa.
Em vista disso, preparamos algumas dicas valiosas para evitar que sua empresa, clientes e colaboradores sejam vítimas de phishing ou outras modalidades de ataques cibernéticos:
Antivírus
O antivírus é uma ferramenta indispensável para qualquer sistema operacional, principalmente no sistema operacional da empresa. Uma empresa deve prezar por instalar um antivírus corporativo e robusto para a proteção do sistema em atividade.
Licenças atualizadas
As licenças de softwares originais devem estar sempre atualizadas. Negligenciar isso é o mesmo que abrir brechas sabendo dos riscos que se corre.
Cloud computing segura
O armazenamento em nuvem permite ampliar as margens de operação de uma empresa, permitindo mais armazenamento, poder de processamento e de comunicação. Há inúmeras vantagens de se investir em cloud computing.
Mas, neste mundo de vantagens é fundamental estar atento a alguns parâmetros de segurança importantes:
- Pesquise pela reputação do provedor. Opte por um bom provedor;
- Utilize a autenticação de 2 fatores de segurança;
- A empresa deve instituir uma política de senhas fortes;
- Ter boas ferramentas que vinculam os dados transportados para a nuvem;
- Todos os colaboradores com acesso ao sistema devem utilizar práticas de segurança recomendadas pelo corpo técnico da empresa.
Gestão de vulnerabilidade
A análise de vulnerabilidade é uma das formas de proteger os sistemas e a rede de uma empresa contra ataques de cibercriminosos. E para proteger um sistema operacional em uma empresa com vários terminais instalados, é fundamental que a vulnerability management seja levada à risca. Varreduras periódicas e todo um escaneamento da rede faz parte desta medida de segurança corporativa.
Treinamento
Os colaboradores devem ser treinados para utilizar o sistema de forma segura. É obrigação da empresa garantir que os funcionários contratados estejam cientes dos riscos que a negligência pode trazer para a segurança da empresa. O treinamento deve ser para instruir todos os funcionários.
De acordo com o Barómetro de Riscos de 2022 divulgado em janeiro deste ano, os ataques cibernéticos estão no topo dos riscos mais agressivos para as empresas ao longo deste ano. O risco de um ataque cibernético é de 44%, enquanto queda nos lucros por conta da pandemia é de 42% e desastres naturais 25%.
Por isso, é fundamental possuir colaboradores cientes dos riscos e lançar políticas de segurança que valem para todos.
Sofreu um ataque ransomware, o que fazer?
Após todas as medidas de segurança terem sido burladas pelo vírus, o surgimento de arquivos criptografados que não serão abertos será uma evidência do ataque em andamento. Neste caso, já será tarde, pois a seguir o pedido de resgate dos dados será emitido.
Então, veja o que pode ser feito:
- Se sua empresa foi vítima de um ataque de ransomware, é importante relatar isso à polícia;
- Fazer tentativas de desinfecção e quebra da criptografia utilizada com ferramentas específicas;
- Por fim, se a tentativa de desinfecção não funcionou, você deve pagar o sequestro e recuperar os dados, isso se o cibercriminosos cumprir com sua palavra no acordo.
A prevenção é a melhor proteção
Para se prevenir e não colocar sua empresa em risco, siga muitas das dicas que foram passadas até aqui. Conte com uma equipe de TI pronta e qualificada, também colaboradores de outros setores treinados. Além disso, você deve recorrer a uma assessoria externa para uma análise de coisas que podem ser instituídas e evitadas.
Fazer backups dos arquivos importantes também é uma solução para evitar o pagamento de resgate. Utilizar VPN aumenta a segurança ao navegar pela internet. Para essas e outras soluções, a UPGrade TI oferece suporte de segurança e backup para o empresário do mudo moderno.
Você ou sua empresa deve pagar o resgate?
Em um caso onde sua empresa foi vítima de extorsão, é preciso avaliar os prejuízos antes de qualquer tratativa. Quando os dados afetados não podem ser reparados por falta de backup, arcar com o pagamento pode ser a solução.
Antes disso, explore todas as alternativas para não ter que ceder ao pedido de resgate, pois nada garante que após o pagamento a criptografia será quebrada.
Como eliminar um ransomware?
Após um ataque confirmado e pedido de pagamento, é hora de olhar para todas as soluções e optar pela melhor. Se existe backup, é possível que o ataque tenha sido em vão. Se não existe, tentativas de descriptografar o ransomware podem ser ruins.
Em uma situação deste tipo, o primeiro passo é ter acesso a opinião de especialistas no assunto que possam ajudar. O pagamento de resgate é a última alternativa quando todas as outras soluções falharam.
Conclusão
Concluímos afirmando que a prevenção é o melhor remédio. Não há muito o que ser feito após um golpe bem-sucedido dos cibercriminosos. Portanto, siga todas as recomendações de segurança e proteção deste artigo e da equipe de TI.
Para reforçar a segurança dos dados de sua empresa e não ser vítima de ransomware, deixe que a UPGrade TI te dê suporte para elevar o padrão de segurança de sua empresa ao máximo. Basta entrar em contato com um de nossos especialistas de plantão para saber mais sobre as soluções oferecidas.