Ransomware é um tipo de malware que infecta o dispositivo informático, normalmente um computador, e restringe o acesso da vítima aos seus arquivos ou ao dispositivo, exigindo uma taxa de resgate (ransom) para retornar ao serviço regular. Ransomware é um mecanismo de extorsão digital (ciberextorsão)1.

Descrição – O que é um ransomware?

Embora o primeiro ransomware tenha surgido no final de 1989, na época dos disquetes 5¼, com o PC CYBORG/AIDS Information Trojan2, esta ameaça, aparentemente abandonada durante 15 anos, nunca foi muito popular entre os criminosos, só tendo renascido em 20053, quando os criadores de malware reconheceram o seu potencial, diante do uso generalizado da Internet e do e-commerce. Naquela época, a disponibilidade e a robustez da tecnologia de criptografia eram muito limitadas em comparação com o que temos hoje.

Ransomware pode ser definido como um programa malicioso (malware) que criptografa ou, de alguma forma, torna o computador ou recursos digitais inoperantes ou inacessíveis. Nos cenários mais comuns de ataques ransomware a vítima será obrigada a pagar um resgate  (ransom) para ter seus dados liberados. A sua eficácia reside nos métodos de criptografia usados, que são praticamente impossíveis de serem quebrados sem que um “resgate” seja pago.

Ao contrário da maioria dos malware, cuja sobrevivência é quase inteiramente subordinada à ocultação, o ransomware proclama a sua existência logo de cara. Ransomware é projetado exclusivamente com objetivos criminosos, sendo usado, na maioria das vezes, para extorquir dinheiro das vítimas. O sucesso de um ataque ransomware depende de uma variedade de fatores, incluindo, mas não se limitando, a educação do usuário, sofisticação do produto, urgência da vítima e métodos seguros de pagamento4.

Não deixa de ser interessante notar que o ransomware atual afeta usuários de diversos países, de forma mais acentuada aqueles que vivem em países com economias desenvolvidas e de alta tecnologia. O ecossistema ransomware é como qualquer outro da vida real: as ameaças que se adaptam ao seu ambiente e evoluem podem sobreviver, e até mesmo prosperar, enquanto aquelas que não se adaptam, eventualmente, desaparecerão. No melhor estilo darwiniano, o ransomware sobreviveu5.

De acordo com o supra referenciado relatório “The evolution of ransomware” da Symantec, os seis principais países afetados por todos os tipos de ransomware em 2015 são os Estados Unidos, Japão, Reino Unido, Itália, Alemanha e Rússia. Na América Latina, o Brasil é o primeiro lugar6.

ransomware-paises
Top 12 países afetados por ransomware

Tipos de ransomware

Como vimos, o ransomware é um software malicioso capaz de bloquear o acesso do usuários ao seu dispositivo ou aos seus arquivos, até que um resgate de valor monetário seja pago. Existem diferentes variantes de ransomware; alguns são projetados para atacar PCs com Windows, enquanto outras espécies infectam Macs e até mesmo dispositivos móveis.

Há dois tipos principais de ransomware em circulação hoje em dia:

  • Locker ransomware: nega o acesso ao computador ou dispositivo
  • Crypto ransomware: previne acesso a arquivos ou dados. Crypto ransomware não necessariamente usa a criptografia para impedir que os usuários acessem aos seus dados, mas a grande maioria utiliza.

Apesar de ambos os tipos de ransomware terem objetivos similares, que é o de negar acesso a algo que nos pertence, só liberando o uso dos dados ou do dispositivo depois que paguemos taxa de resgate, as abordagens adotadas por cada tipo são bastante diferentes.

Tipos de ransomware
O dois principais tipos de ransomware são o locker ransomware e o crypto ransomware.

Locker ransomware

O locker ransomware surgiu alguns anos antes do seu pico de infecção, que ocorreu entre 2011 e 2012. O primeiro malware criado para bloquear o computador, o Trojan.Randsom.C, atingiu milhares de usuários ao redor do mundo, no início de 2008. Este ransomware pioneiro falsificava uma tela de mensagem do Windows Security Center e pedia ao usuário que ligasse para um número de telefone para que a licença do software de segurança fosse reativada. O computador ficava bloqueado, incapacitando o usuário de usá-lo para qualquer outra finalidade.

Locker ransomware foi projetado, portanto, para impedir o acesso do usuário aos recursos computacionais.  Normalmente, a interface do computador ou do dispositivo do usuário é bloqueada e, em seguida, é exigido do usuário o pagamento de um valor, a fim de restaurar o acesso à normalidade. Computadores bloqueados, muitas vezes, ficam com as capacidades limitadas, sendo a única tarefa permitida ao usuário a interação com o ransomware para pagamento do resgate. O acesso ao mouse pode ser desativado e as funcionalidades do teclado podem ser limitadas às teclas numéricas, restringindo a ação da vítima a digitar números para realização do pagamento. Uma ameaça típica desta espécie de ransomware cobra entre de US$ 150 a US$ 200 para que o computador seja desbloqueado.

ransomware-locker
Uma seleção locker ransomware contendo notificações de órgãos de aplicação da lei. Este tipo de ransomware, muitas vezes se disfarça de autoridade policial, arrogando-se no direito de emitir e cobrar uma multa dos usuários, alegando o envolvimento deles em atividades criminosas.

Normalmente, locker ransomware só impede o acesso à interface do computador, deixando, em grande parte, o sistema subjacente e os arquivos intocados. Isto torna este tipo de ransomware menos eficaz como ferramenta de extorsão, quando comparado com a maior capacidade destrutiva do crypto ransomware. A vítima, em muitos casos, é capaz de restaurar o sistema usando ferramentas fornecidas por fornecedores de segurança.

Crypto ransomware

Este tipo de ransomware foi concebido para encontrar e criptografar dados importantes armazenados no computador, tornando os dados inúteis, a menos que o usuário obtenha a chave de decodificação, mediante o pagamento de um resgate.

Os criadores de crypto ransomware exploram as fraquezas na postura de segurança do usuário típico. A maioria de nós armazena dados importantes em nossos computadores. Dependendo do tipo de dados armazenados, caso sejam sequestrados, podemos pagar o resgate, desesperadamente, para obtê-los de volta.

Depois de instalado, o crypto ransomware procurará, “silenciosamente”, arquivos para serem criptografados. A ideia subjacente ao movimento silencioso é a de permanecer longe dos radares, não chamando a atenção do usuário, até encontrar e criptografar os arquivos que tenham valor ao usuário.

cerber-ransomware
Neste exemplo, os arquivos foram criptografados e renomeados pelo Ransomware Cerber com a extensão .cerber.

Quando a vítima tomar conhecimento de que os seus dados foram criptografados, o dano já foi feito. O computador afetado continuará a funcionar normalmente, pois o malware não tem como alvo arquivos críticos do sistema.

Ransomware Cerber
Página da nota de resgate do Ransomware Cerber.

Exemplos de crypto ransomware: CryptoWall, TorrentLocker, CTB-Locker e TeslaCrypt.

Ainda não temos a plena consciência da necessidade de criar cópias de segurança como forma de proteção contra falhas no disco rígido, perda, furto ou roubo do computador; tampouco temos consciência que podemos sofrer um ataque de ransomware. A junção da falta de prática e conhecimento técnico e a baixa percepção do valor dos dados armazenados contribuem para nossa falta de cuidado. Além disso, criar um processo de backup requer um certo trabalho e disciplina, não sendo muito atraente para a maioria de nós.

Ransomware é uma das muitas ameaças que temos de lidar diariamente. O ano de 2016 foi declarado pela indústria de segurança como o ano do ransomware. Novos ataques serão cada vez mais comuns. “Pagar ou não pagar o resgate?” será a questão que alimentará debates no mundo inteiro. Na medida do possível, procurarei mantê-los informado.

Referências

  1. https://www.mycybersecurity.com.br/o-que-e-ciber-extorsao/
  2. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.169.5881&rep=rep1&type=pdf. Para mais informações, leia também: https://www.virusbulletin.com/uploads/pdf/magazine/1990/199001.pdf
  3.  A primeira onda de ransomware contemporâneo começou em maio de 2005 com Trojan.Gpcoder (https://www.symantec.com/security_response/writeup.jsp?docid=2005-052215-5723-99)
  4. Britz, Marjie T. (2014). Computer Forensics and Cybercrime: An Introduction (3rd Edition). Prentice-Hall: New Jersey. (published 26 May 2013)
  5. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf
  6. http://www.nolicorp.com.br/o-brasil-e-o-mais-atacado-por-ransomware/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.