Índice
O que é o ransomware?
O ransomware é um tipo de malware que sequestra os dados ou os dispositivos das vítimas e exige um pagamento para liberá-los. É uma das ameaças mais perigosas e lucrativas para os cibercriminosos, que podem atingir desde usuários domésticos até grandes empresas e instituições públicas.
Vamos desvendar tudo sobre ransomware, como funcionam, quais são os seus tipos, como prevenir e como resolver o problema depois que ele acontece.
O termo ransomware vem da junção das palavras em inglês ransom (resgate) e software. Trata-se de um programa malicioso que bloqueia o acesso aos dados ou ao sistema operacional do dispositivo infectado, geralmente usando criptografia, e exibe uma mensagem exigindo um valor em dinheiro, normalmente em criptomoedas, para devolver o controle ao usuário. Caso o pagamento não seja feito, os dados podem ser apagados, corrompidos ou divulgados na internet.
O ransomware é uma forma de extorsão digital que pode causar prejuízos financeiros, danos à reputação, perda de informações confidenciais, interrupção de serviços essenciais e até riscos à segurança física das vítimas. Segundo o IBM Security X-Force Threat Intelligence Index de 2023, os ataques de ransomware representaram 17% de todos os ciberataques em 2022.
Como funcionam
O ransomware funciona de forma semelhante a outros tipos de malware, ou seja, ele precisa ser executado no dispositivo da vítima para iniciar o seu processo de infecção. Para isso, os cibercriminosos usam diversas técnicas de engenharia social, como e-mails falsos, links maliciosos, anexos infectados, downloads fraudulentos, entre outras. O objetivo é enganar o usuário e fazê-lo clicar ou abrir o arquivo que contém o código malicioso.
Uma vez instalado no dispositivo, o ransomware pode se comunicar com um servidor remoto para receber instruções ou baixar componentes adicionais. Em seguida, ele inicia o processo de criptografia dos dados ou do sistema operacional, impedindo o acesso do usuário. Alguns ransomwares também podem se espalhar pela rede local ou pela nuvem, afetando outros dispositivos conectados.
Após o bloqueio, o ransomware exibe uma tela ou um arquivo de texto com as instruções para o pagamento do resgate. Geralmente, os criminosos exigem um valor em criptomoedas, como Bitcoin ou Monero, que são mais difíceis de rastrear. Eles também costumam estipular um prazo para o pagamento, sob pena de aumentar o valor, apagar os dados ou publicá-los na internet. Alguns ransomwares também podem ameaçar os clientes ou parceiros da vítima, usando os dados roubados para atacá-los.
Tipos mais comuns de ramsonware
Existem dois tipos principais de ransomware, de acordo com a forma como eles bloqueiam o dispositivo da vítima:
- Ransomware criptografado ou crypto-ransomware: é o tipo mais comum e perigoso de ransomware, que usa algoritmos de criptografia para codificar os dados ou o sistema operacional do dispositivo, tornando-os inacessíveis. O invasor só fornece a chave de descriptografia após o pagamento do resgate. Exemplos de ransomwares criptografados são o CryptoLocker, o WannaCry, o Locky e o Ryuk.
- Ransomware não criptografado ou locker-ransomware: é um tipo menos comum e menos sofisticado de ransomware, que bloqueia o acesso ao dispositivo da vítima, geralmente impedindo o carregamento do sistema operacional ou exibindo uma tela falsa. O invasor promete desbloquear o dispositivo após o pagamento do resgate. Exemplos de ransomwares não criptografados são o Reveton, o FBI Moneypak e o Winlocker.
Além desses dois tipos, existem também variantes de ransomware que podem ter características específicas, como:
- Ransomware de extorsão dupla ou double extortion ransomware: é um tipo de ransomware que, além de criptografar os dados da vítima, também os rouba e ameaça divulgá-los na internet caso o resgate não seja pago. Isso aumenta a pressão sobre a vítima, que pode ter seus dados expostos ou vendidos para outros criminosos. Alguns ransomwares de extorsão dupla são o Maze, o Sodinokibi e o DoppelPaymer.
- Ransomware de extorsão tripla ou triple extortion ransomware: é um tipo de ransomware que, além de criptografar e roubar os dados da vítima, também os usa para atacar os seus clientes ou parceiros de negócios, exigindo um resgate deles também. Isso aumenta ainda mais o impacto do ataque, que pode afetar toda uma cadeia de fornecedores ou consumidores. Os ransomwares de extorsão tripla mais conhecidos são o SunCrypt, o RagnarLocker e o Egregor.
- Ransomware-as-a-service ou RaaS: é um modelo de negócio em que os desenvolvedores de ransomware oferecem o seu software para outros criminosos, que podem usá-lo para realizar ataques em troca de uma parte do lucro. Isso facilita a disseminação do ransomware, que pode ser usado por pessoas sem conhecimento técnico. Exemplos de serviços de ransomwares sob encomenda são o GandCrab, o Cerber e o REvil.
Como prevenir o ransomware?
A prevenção é a melhor forma de se proteger contra o ransomware, pois uma vez que o dispositivo é infectado, pode ser muito difícil recuperar os dados ou o acesso sem pagar o resgate. Para isso, é preciso adotar uma série de medidas de segurança, como:
- Manter o sistema operacional e os aplicativos atualizados, para corrigir possíveis vulnerabilidades que podem ser exploradas pelos invasores.
- Instalar um software de segurança de qualidade, que possa detectar e bloquear o ransomware antes que ele cause danos.
- Fazer backups regulares dos dados importantes, em dispositivos externos ou na nuvem, para poder restaurá-los em caso de infecção. Os backups devem ser feitos, verificados e desconectados após o uso, para evitar que também sejam infectados. Com certeza, o backup é a medida mais efetiva e importante para a mitigação de riscos e danos causados por um ramsonware.
- Evitar abrir e-mails, links ou anexos suspeitos, que podem conter código malicioso. É preciso verificar a origem e a veracidade das mensagens, e usar o bom senso para não cair em golpes.
- Usar senhas fortes e únicas para cada conta ou serviço, e ativar a autenticação de dois fatores (2FA) sempre que possível, para evitar que os invasores tenham acesso aos seus dados ou dispositivos.
- Educar e conscientizar todos os envolvidos sobre os riscos e as formas de prevenção de ataques cibernéticos, através de cursos, notícias e dicas de especialistas em segurança digital.
Resolver o problema e reduzir os danos
Se o seu dispositivo foi infectado por um ransomware, não entre em pânico. Existem algumas possíveis soluções para o problema, que podem variar de acordo com o tipo e a complexidade do ataque. Veja algumas dicas de como resolver o problema do ransomware:
- Não pague o resgate. Essa é a recomendação dos especialistas em segurança, pois pagar o resgate não garante que você terá os seus dados ou o seu dispositivo de volta, e ainda incentiva os criminosos a continuarem com os ataques. Além disso, você pode estar financiando atividades ilegais ou terroristas.
- Desconecte o dispositivo da internet e da rede local, para evitar que o ransomware se espalhe para outros dispositivos ou serviços conectados. Isso pode limitar o impacto do ataque e facilitar a remoção do malware.
- Identifique o tipo e a variante do ransomware, para saber se existe alguma forma de desbloquear o dispositivo ou os dados sem pagar o resgate. Você pode usar sites como o ID Ransomware ou o No More Ransom, que podem reconhecer o ransomware a partir da mensagem ou do arquivo de resgate, e indicar se existe alguma ferramenta de descriptografia disponível.
- Remova o ransomware do dispositivo, usando um software de segurança confiável. Você também pode usar um disco de recuperação ou restaurar o sistema operacional para uma versão anterior, se possível. Se não for possível, você deve recuperar os seus dados a partir de um backup.
Mantenha-se atualizado
O ransomware é uma ameaça que está em constante evolução, e os cibercriminosos estão sempre buscando novas formas de infectar e extorquir as vítimas. Por isso, é importante se manter atualizado sobre as novidades e as tendências desse tipo de ameaça para poder se proteger e evitar surpresas desagradáveis.
Uma boa forma de se manter atualizado sobre segurança digital é acompanhar os sites e os blogs de empresas e organizações especializadas em segurança digital, como o Kaspersky, o Malwarebytes e a Trend Micro. De fato, existem muitas ótimas fontes de informação. Esses sites costumam publicar artigos, relatórios, alertas e dicas sobre segurança cibernética, explicando como ele funciona, quais são os seus tipos, como preveni-lo e como removê-lo.
Também vale a pena seguir as redes sociais e os podcasts de profissionais e pesquisadores que estudam e combatem ameaças digitais, como Lawrence Abrams, Brian Krebs, Graham Cluley, Rachel Tobac, entre outros. Esses profissionais costumam compartilhar informações, análises, opiniões e experiências sobre segurança cibernética mostrando os bastidores e os desafios da luta contra essa ameaça.
Existem eventos, cursos e webinars sobre o tema, que podem oferecer uma visão mais aprofundada e atualizada sobre o ransomware, além de permitir a interação e o aprendizado com outros profissionais e especialistas. Alguns exemplos de eventos, cursos e webinars sobre o ransomware são o Ransomware Summit, promovido pelo SANS Institute, o Ransomware: Prevention and Response do FBI, e o Ransomware: What You Need to Know, uma parceria da Europol com a Checkpoint, entre outros ótimos materiais e eventos.
Impacto e o olhar sobre o futuro
O ransomware é um dos maiores problemas de segurança digital da atualidade, que pode causar sérios danos às vítimas, tanto financeiros quanto sociais e emocionais. Todas as pessoas que tomam parte nesse processo sentem-se atingidas na sua integridade, na sua segurança e na sua dignidade, dado o grau de terror imposto.
Do ponto de vista governamental pode haver a parada de serviços essenciais à população ou colocar a segurança nacional em risco. Por mais que os governos invistam bilhões de dólares em segurança, a divergência ideológica e política sempre pode ser um grande motivador para ataques que conseguem sucesso a partir da colaboração de membros internos.
Pela ótica empresarial, que é o nosso maior foco, um ataque cibernético desse porte se compara a um incêndio ou perda catastrófica da infraestrutura, e nesse caso o melhor é sempre contar com políticas fortes de segurança de adoção obrigatória e backups consistentes de acordo com as melhores práticas e com um plano de recuperação de desastres que tenha um RPO e um RTO reduzidos. Lembre-se: a prevenção é a melhor defesa.