
“Seu servidor foi criptografado. Para acessá-lo novamente, você precisará pagar um resgate de US$ 4,5 milhões em três dias. Se você não fizer isso, seus dados não poderão mais ser recuperados.”
Em 2020, foi essa a mensagem lida por quem ligou seu computador em empresas como Honda, Equinix, Cognizant, Canon e Garmin, todas elas vítimas de ataques ransomware.
O ransomware é um malware projetado para criptografar áreas de armazenamento de computadores e servidores, tornando os dados inacessíveis até que o pagamento do resgate seja realizado.
A ameaça não é nova. Desde o primeiro ataque documentado, em 1989, o malware está à espreita de organizações inseguras. Depois de episódio famosos, como o do WannaCry, em 2017, a ameaça, que nunca sumiu do mapa, volta forte em 2020.
Mas o que explica o crescimento do ataque ransomware justo neste ano? E quais os tipos de ransomware em alta? É o que veremos neste post.
Aumento de ataques ransomware no Brasil
Segundo o The State of Ransomware 2020, feito pela Sophos, em 2019, 65% das organizações brasileiras pesquisadas sofreram um ataque ransomware. Apenas 36% delas conseguiram bloqueá-los antes de os dados serem criptografados.
Em 2020, só no primeiro semestre, o aumento nos ataques no mundo foi de 72%, segundo levantamento da Skybox Security.
Já segundo dados da Kasperski, em 2020 teve um aumento de 350% nos ataques ransomware no primeiro trimestre. Segundo a organização, o Brasil figura no topo dos países mais afetados no mundo por ataques desse tipo.
De acordo com as análises citadas, esse aumento nos ataques se deve sobretudo à ida tão repentina quanto maciça para o home office e pela própria pandemia, grande motivo de e-mails e mensagens phishing.
7 ataques ransomware em alta em 2020
Há vários tipos de ransomware, mas quais deles mais afetam as empresas em 2020? Estudo da ESET traz dados sobre isso.
1. Crysis/Dharma
Ransomware mais detectado no Brasil em 2020 segundo a ESET, o Crysis ou Dharma é conhecido desde 2016. É distribuído via phishing, como se fosse um software legítimo ou por credenciais de RDP vazadas. Ao invadir uma rede, pode desinstalar ferramentas de segurança e criptografar praticamente todos os seus arquivos.
2. WannaCry
Ransomware usado em ataque em escala global em 2017, o WannaCry é distribuído via anexos infectados em e-mails e explora uma vulnerabilidade do SMB do Windows. Embora a falha tenha sido corrigida antes do ataque, poucas foram as empresas que fizeram a instalação do patch antes de caírem no golpe.
3. STOP
Distribuído por meio de e-mails infectados e sites maliciosos, o STOP foi documentado em 2017 pela primeira vez. Por meio de uma combinação de algoritmos clássica entre as famílias de ransomware (AES+RSA), ele criptografa dados em uma série de extensões.
4. Phobos
Documentado desde 2019 entre os ransomware, o Phobos tem as mesmas características do Crysis/Dharma e costuma ser disseminado por credenciais RDP vazadas.
5. Snake/Ekans
Documentado também pela primeira vez em 2019, o Snake ou Ekans desativa todas as soluções de segurança e usa o mesmo tipo de criptografia do STOP.
6. VHD
Experimentado pelo grupo Lazarus, o VHD é considerado um ransomware direcionado sofisticado, por adentrar na rede de suas vítimas por meio de um tipo de ataque APT.
7. WastedLocker
O WastedLocker pode ser programado em ataques a alvos específicos e criptografar certos arquivos primeiro, por meio da mesma combinação de algoritmos do STOP. Segundo a Securelist, houve um aumento de atividade deste malware na primeira metade de 2020.
Como o ransomware chega no dispositivo?
O ransomware é a cartada final de uma série de outros ataques que o antecedem.
Para invadir os dispositivos, os criminosos podem usar os emails e mensagens de phishing com anexos ou links infectados, downloads feitos em sites maliciosos e vulnerabilidades em RDP e VNC, por exemplo.
Uma vez dentro do dispositivo, o malware vasculha todos os arquivos em busca de novas vulnerabilidades. Esse trabalho pode durar poucas horas ou até algumas semanas. Nessa fase do ataque, normalmente os criminosos roubam dados sensíveis, com o vazamento dos quais ameaçam as vítimas. Por fim, vem a criptografia ou bloqueio, e a exigência do resgate.
O que fazer para evitar ataques ransomware na sua empresa
A maioria das vulnerabilidades que servem de porta de entrada para ataques ransomware são conhecidas. E mais: não são difíceis de lidar.
No entanto, a mesma Kasperski citada acima mostra que 40% das organizações do país não têm uma política de cibersegurança. Quanto à cibersegurança nas instituições financeiras, o cenário é um pouco melhor. A Pesquisa de Cibersegurança, da ANBIMA, mostra que 85% delas já tinham um programa de proteção.
Ainda assim, o Modern Bank Heists, relatório feito pela VMware Carbon Black, mostra que de fevereiro a abril de 2020, os ataques cibernéticos ao setor financeiro saltaram 238%. E com o impacto de regulações como LGPD no cenário próximo, enquanto as organizações fizerem pouco ou quase nada, os ataques vão continuar.
Mas o que fazer para evitar o ransomware?
Redes
Com o home office, você deve estar acessando a rede da empresa do seu próprio wi-fi e até de seus dispositivos pessoais – cuja segurança é ainda menor que a das empresas.
O uso de VPN, senhas fortes, autenticação com múltiplos fatores e criptografia, tem mostrado boa resiliência em segurança.
Software e sistemas
Não é incomum que ataques ransomware se aproveitem de vulnerabilidades de sistemas. Como normalmente elas são corrigidas rapidamente pelos desenvolvedores, é fundamental mantê-las atualizadas e aplicar patches. Aqui, também vale impedir a instalação de softwares pelo usuário em dispositivos da empresa.
E-mails e sites
Como vimos, a maioria dos ataques de ransomware começa em e-mails. Logo, verifique a origem da mensagem e evite clicar em links não verificados e baixar anexos, caso desconfie. Em sites, a recomendação é a mesma: evitar navegação e downloads em páginas suspeitas, além de manter um bom antivírus.
Backup
Fazer um backup regular dos arquivos críticos não impede um ataque ransomware, mas pode evitar a perda de informações importantes no caso de sofrer um.
Educação
Conscientizar colaboradores a respeito da segurança, ensiná-los a identificar e-mails ou mensagens suspeitos e a agir caso percebam alguma ameaça é uma estratégia barata e, muitas vezes, eficiente de prevenção.
Como vimos, os ataques de ransomware são vários e tiveram alta em 2020. E não há evidência de que essa tendência venha a cair no futuro próximo.
Toda organização está sujeita a eles, uma vez que a maioria ainda tropeça em medidas básicas de segurança. E quanto a sua? Já tem um plano de prevenção e de resposta?
Quer continuar a falar sobre ransomware e cibersegurança? Ouça também o episódio #3 do ConectaCast: Cibersegurança: o que esperar nos próximos anos.