Entenda o impacto do Ransomware na grande rede e descubra a importância da Segurança da Informação e dos profissionais de Tecnologia da Informação neste cenário.

Com o crescimento da adoção da Tecnologia da Informação por empresas em todo o mundo, as ameaças se tornam cada vez mais evoluídas, provindas do lado obscuro do cérebro malicioso de algum Hacker. Termos como Vírus e Trojam já são populares dentre os usuários da rede e, recentemente, fomos apresentados e vimos crescer uma nova modalidade de ameaça conhecida como Ransomware.

Se você tem algum contato um pouco mais íntimo com a Tecnologia da Informação com certeza já ouviu falar dos perigos de um computador (ou rede) ser infectado por um Ransomware. As consequências podem ser catastróficas, a empresa infectada pode vir a gastar uma pequena fortuna, quando não, está sujeita a perder todos os dados dos computadores e servidores.

Neste artigo iremos explorar as particularidades deste poderoso Malware, esclareceremos como sua rede pode ser infectada, e daremos dicas de como realizar um bloqueio, promovendo a Segurança da Informação da sua empresa de forma efetiva.

Mas o que é Ransomware?

Primeiramente precisamos entender que Ransomware é um tipo de Malware, e este, nada mais é do que um software malicioso (Malware é a abreviação de Malicious Software, ou software malicioso), que busca se infiltrar nos computadores sem o consentimento do usuário, no intuito de causar algum dano ou roubo de informações.

Basicamente existem três tipos de Ransomware:

• Criptográfico: Atua com base em criptografia, “sequestra” os dados do HD, ou seja, criptografa os dados, e solicita uma quantia, geralmente em bitcoins, para envio da chave de descriptografia.

• Lock-Screen: Esta modalidade trava o funcionamento do computador na tela de pagamento, fazendo o usuário pensar que os dados estão criptografados, levando o mesmo a realizar o pagamento do valor exigido.

• Scareware: É o menos perigoso dos três, envia avisos e mensagens de erro ao usuário, ocasionalmente invoca nomes de softwares de proteção e antivírus legítimos, solicita pagamento para uma solução de problemas podendo roubar assim os dados de acesso a contas dos usuários. O computador continua funcionando e o usuário segue recebendo as ditas mensagens de aviso, porém com o tempo alguns programas podem realmente apresentar falhas e parar de funcionar.

Casos de ataques com Ransomware

No decorrer da década ocorreram vários ataques de Ransomware, alguns não passaram de um susto, mas outros acarretaram prejuízos que chegam na casa dos bilhões de dólares, seguem alguns dos casos de maior relevância neste cenário:

• Ryuk (2018, 2019 e 2020): Criado em 2018, o Ryuk é um exemplo de Ransomware que “escolhe” suas vítimas, e prioriza aqueles que tem pouca tolerância para períodos de inatividade. Este Malware em específico, tem o poder de desativar a opção de “Restauração do Sistema” do Windows. Segundo o FBI, desde 2018 o Ryuk já causou prejuízo superior a 60 milhões de dólares no pelo mundo.

• CovidLock (2020): Cibercriminosos têm explorado o medo em relação à Covid-19 e o Ransomware CovidLock é um exemplo disso. Um arquivo prometendo informações sobre a Covid é enviado para as vítimas e, assim que aberto, infecta totalmente suas máquinas (e celulares Android). Após tal, é cobrado 100 dólares para o “resgate” e estima-se que centenas de milhares de usuários já foram atingidos pelo golpe.

• LockerGoga (2019): O LockerGoga é um ransomware que ganhou os noticiários em 2019 por infectar grande empresas como a Altran Technologies e a Hydro. É estimado que, com ataques direcionados, ele tenha provocado prejuízos de milhões de dólares.

• O ataque de 12/05/2017: Este ataque ficou famoso pois infectou usuários em todo o mundo, inclusive no Brasil. Dentre as empresas afetadas estão a Telefônica, dona da Vivo no Brasil, a empresa espanhola foi a maior prejudicada, os criminosos pediram resgate superior a 500 mil Euros. Outras empresas afetadas foram o Ministério Público de Estado de São Paulo (MPSP), o Tribunal de Justiça do Estado de São Paulo (TJSP), alguns hospitais, o INSS e diversas outras principalmente na Europa. Estima-se que o prejuízo total ficou na casa de 4 bilhões de dólares. Neste ataque foi utilizada a variante de um Ransomware Criptográfico conhecida como WannaCry, lei mais nesta matéria do Techmundo.

• O ataque de 27/06/2017: Ainda mais catastrófico do que o WannaCry, o ataque que utilizou a variante NotPetya (outro Ransomware Criptográfico), deixou um prejuízo estimado em 10 bilhões de dólares. Com o mesmo princípio operacional do WannaCry, o NotPetya circulou a internet e criptografou irreversivelmente tudo o que entrou no seu caminho. O prejuízo foi exorbitante pois os cibercriminosos invadiram e infectaram os servidores de atualização do software financeiro MeDoc, e encaminharam o Malware como uma atualização, infectando assim grande parte dos clientes e espalhando-o pela rede. Outro detalhe devastador é o fato de que o NoPetya não simplesmente usa de criptografia nos arquivos, mas bloqueia totalmente o acesso ao computador. Leia mais neste artigo o IG.

Formas mais comuns de infecção

Como a ideia é criptografar dados para pedir resgate, o grande foco dos ataques são as empresas, pois estas têm “mais a perder”. Pensando nisso, as principais formas de espalhar um Ransamoware são as seguintes:

• Phishing: Nada mais é do que um e-mail falso, oferece algum benefício ou promoção, e infecta o usuário através de links para sites maliciosos ou mesmo anexos infectados. Veja algumas dicas para identificar um e-mail phishing nesta matéria da Proof. 

• Malvertising: Campanhas publicitárias maliciosas que enganam a vítima e a levam a páginas falsas.

• Outros computadores infectados: Os Ransomwares se espalham facilmente dela rede, uma vez que uma máquina se infecte, o Malware pode se espalhar em questão de minutos.

• “Cracks” e programas piratas: Download de programas piratas em páginas não confiáveis e Cracks presentes em sites de torrent podem estar contaminados.

Alguns dados

Com a interconectividade dos usuários e a rede crescendo diariamente, as ameaças acompanham as tendências e assustam em alguns aspectos, seguem alguns números relevantes a respeito:

• Em 2017 a Brasil era o 4° país com mais ataques por Ransomware na da América Latina conforme esta matéria do Techmundo, já em 2018 passou a ocupar o 4° lugar mundial com 5% dos ataques, atrás apenas da China (16,9%), Índia (14,3%) e EUA (13%), como mostra aqui o Canaltech.
• Seguindo esta linha de raciocínio, no primeiro trimestre de 2019 o Brasil já aparecia em 2° lugar no mundo em ataques por Ransomware com 10,64%, logo atrás dos EUA com 11,06% dos ataques, como informa aqui o SempreUPdate.
• Em 2018 foram registrados 545,2 mil ataques, destes, 444,2 mil foram em ambientes corporativos, como aponta esta matéria do Canaltech.
• Ainda na citada matéria do Canaltech, vemos que 1 em cada 415 e-mails disparados, é de conteúdo malicioso, bem como 35,7% das URL compartilhadas da mesma forma.
• A iMasters mostra nesta publicação que os ataques por Ransomware em empresas tiveram um aumento de 200% no primeiro trimestre de 2019, em comparação com o último trimestre de 2018.
•  Os valores dos resgates praticamente dobraram no primeiro trimestre de 2019, em relação ao último trimestre de 2018, aponta esta matéria da Cointelegraph.

• Segundo a Sonicwall, no primeiro semestre de 2021 o Brasil caiu para a 5º posição dos países mais infectando por Ransomware.
• 

Como estar prevenido

Para evitar os ataques por Ransomware, as empresas devem tomar medidas preventivas de Segurança da Informação, uma vez que pouco se pode fazer depois que os computadores e servidores estejam infectados. Separamos algumas medidas que podem ajudar a promover a Segurança da Informação para seu ambiente:

• Analisar rigorosamente os e-mails que recebe: Antes de clicar em links e anexos, procure analisar o remetente do e-mail.
• Mantenha programas atualizados: Ative as configurações de atualização de seus softwares, principalmente as de segurança.
• Utilização de um Next Generation Antivírus (NGAV): É a evolução do antivírus tradicional, atua de forma proativa, analisando constantemente o ambiente protegido, prevenindo assim ataques e invasões.
• Utilização de um Next Generation Firewall (NGFW): Como o exemplo acima, é a evolução dos Firewalls tradicionais, permitem uma inspeção mais profunda, que vai além da inspeção de bloqueio, com prevenção de invasão e coleta de dados, dentre várias outras funcionalidades e melhorias.
• Backup: A principal prática de prevenção de perda de dados é sempre trabalhar com um backup regular dos dados, a recomendação é que se faça em cloud, o conhecido backup na nuvem, desta forma, caso seus dispositivos sejam infectados, basta remover completamente os arquivos, realizar uma varredura, e restaurar o backup.

Lembre-se que o pagamento do resgate dos arquivos não garante que o criminoso realmente os devolva.

Podemos concluir que a presença de ameaças em ambientes virtuais hoje é unânime, todos estamos sujeitos a uma invasão ou ataque aos nossos dispositivos, seja por um vírus relativamente inofensivo ou por Malwares elaborados que podem gerar consequências mais prejudiciais.

Nunca se fez tão importante o uso de técnicas de prevenção de perda de dados, consciência na hora de navegar na rede, buscando evitar cair em uma página maliciosa, e muito cuidado ao clicar em links e anexos em e-mails.

Caso você seja vítima de alguma armadilha virtual, procure imediatamente uma empresa de TI de confiança para uma avaliação de danos (leia mais sobre as atribuições do profissional de TI aqui).

A Infomek é especialista em Segurança digital, entre em contato e solicite uma visita técnica gratuita agora mesmo!