O que é ransomware?
Há muito tempo em uma galáxia muito, muito distante…. Espere, foi apenas 30 anos atrás? O ransomware é tão comum que tendemos a pensar que sempre esteve conosco. Bem, ele tem apenas 31 anos, mas já causou vários danos – embora ainda haja um momento de incredulidade atordoada quando as pessoas ouvem pela primeira vez sobre o ransomware.
Esta postagem do blog o guiará pelos conceitos e princípios básicos: O que é ransomware? Como ele infecta seu computador? E qual o impacto no seu negócio?
Primeiro ataque de ransomware da história
Em 1989, o biólogo evolucionário Joseph Popp escreveu “AIDS Trojan”, o primeiro malware conhecido que foi um dos primeiros exemplos de uma classe de malware conhecida como “ransomware”. AIDS Trojan foi introduzido nos sistemas através de um disquete, que Popp simplesmente enviou para uma lista de discussão de participantes da Conferência Internacional de AIDS da OMS. Imagine: 20.000 disquetes infectados foram distribuídos! Joseph Popp acabou sendo pego, mas ele poderia imaginar naquele momento que ele iniciou uma nova era de ransomware?
Então… o que é ransomware?
Falando sobre a definição, eu colocaria em palavras simples: Ransomware é uma forma de software que é criada com intenção maliciosa e coloca os arquivos do usuário em código. Cabe mencionar que o ransomware funciona usando criptografia de arquivos, uma das ferramentas mais cruciais na segurança do computador. No entanto, alguns agentes de ransomware se comportam de maneira diferente, como excluir arquivos, criptografar aplicativos (como o SQL Server) ou carregar dados para extorquir a organização. O ransomware normalmente obtém acesso por meio de acesso remoto inseguro, vulnerabilidades do sistema operacional, downloads de software ou anexos de e-mail.
Como funciona o processo de ransomware
Tudo bem, nós entendemos — ransomware criptografa arquivos em computadores. Mas como isso acontece?
Além do código e do algoritmo de criptografia, sempre há truques de engenharia social envolvidos.
Sou um grande fã da série Mr. Robot, que fala muito sobre como construir uma conexão emocional com as vítimas antes de hackeá-las e criptografar seus dados. Às vezes, os invasores até entram em contato com o alvo em uma rede social e iniciam uma conversa com o alvo lá. Passo a passo, o hacker ganha a confiança da vítima e, em seguida, usa essa confiança para obter acesso a dados privados, às vezes até confidenciais, como senhas ou detalhes de contas bancárias.
Provavelmente não nessa escala, mas a mesma lógica está sendo usada com ransomware: você abre e-mail de alguém que você confia, amigo, qualquer organização legítima etc.;
você recebe mensagens intimidantes de que seu computador acabou de ser infectado (ainda conexão emocional, hein?), então você clica no link e aqui está. Transferência concluída. Ransomware está no seu computador! Mas vamos nos aprofundar nas maneiras pelas quais seu computador pode se deparar com esse problema – pois estar ciente significa estar armado.
Primeiro cenário de ransomware: e-mails maliciosos
| O usuário recebe e-mail com anexos de arquivo ou links no corpo do e-mail. Mesmo que a maioria dos e-mails como este vá para a pasta de spam, alguns deles podem entrar na sua caixa de entrada. | |
| O usuário baixa o anexo do arquivo ou clica no link. O processo de instalação do ransomware já começou. | |
| Ransomware começa a criptografar os dados que você tem no computador: fotos, documentos, PDFs, tudo o que você tem lá. | |
| Agora é a hora de as instruções aparecerem e dizerem ao usuário como fazer um pagamento ao invasor para obter a descriptografia — e isso pode custar milhares de dólares! |
Abaixo está um exemplo de spam e e-mail provavelmente malicioso. Não posso dizer com certeza se o link no corpo do e-mail fará o download do ransomware, mas não quero tentar o destino (e veja a nota sobre “remetente confiável!”).
Segundo cenário de ransomware: kits de navegador e exploração, também conhecidos como malvertising
| O usuário clica em anúncios online no navegador e o sistema redireciona o usuário para o site comprometido. | |
| Normalmente, os invasores criam esses sites comprometidos para parecerem legítimos, portanto, pode demorar um pouco para que seu antivírus e sistema de segurança identifiquem códigos de exploração ocultos neles. | |
| O kit de exploração começa a examinar seu computador e inicia alguns softwares Java ou Flash para encontrar qualquer possível vulnerabilidade. E se tal vulnerabilidade for encontrada — o ransomware será colocado em seu computador. | |
| O ransomware criptografará todos os dados salvos no disco rígido do seu computador (da mesma forma que no cenário de e-mail malicioso). | |
| As instruções não demorarão muito e você terá que pagar novamente ao invasor. |
Tenha sempre em mente que o pagamento não garante que você tenha acesso aos seus arquivos de volta. Isso só garante que os invasores de ransomware recebam seu dinheiro – e pronto!
Quem é o público-alvo do ransomware?
A resposta é todos.
O ransomware pode ser direcionado a indivíduos e empresas de qualquer tamanho. Toda organização está em risco — seja você uma pequena empresa ou uma empresa. Não há limitação e, novamente, todos os setores podem ser prejudicados: educação, governo, saúde, varejo, finanças… às consequências negativas.
O impacto do ransomware nas empresas
E o impacto nos negócios? O impacto é enorme.
No quarto trimestre de 2019, o pagamento médio por uma chave de descriptografia de ransomware aumentou 104% para US$ 84.116, em comparação com US$ 41.198 no terceiro trimestre de 2019. O pagamento não garante que você restaurará o acesso aos dados. Isso nem garante que seu computador não esteja mais infectado.
O ransomware pode ser devastador e o processo de recuperação não será fácil e pode exigir recursos adicionais.
Aqui estão os principais riscos associados ao ransomware:
- Perda de dados — temporária ou mesmo permanente
- Desligamento completo das operações comerciais
- Perda financeira devido a interrupção e tempo de inatividade
- Perda financeira associada a esforços de remediação
- A reputação da empresa
Quando o ransomware chega — é uma emergência em toda a empresa; é um desastre que precisa ser recuperado.
Proteção contra ataques de ransomware
A melhor maneira de se proteger contra ransomware é evitar que isso aconteça.
Faça backup de seus dados, eduque seus administradores de negócios sobre ransomware e invista em uma boa solução de segurança cibernética.
Falando sobre proteção de dados, a Veeam oferece backups 100% à prova de ransomware com funcionalidade S3 Object Lock e backups imutáveis. Para tornar os dados imutáveis, o Veeam Backup & Replication usa a tecnologia Object Lock fornecida pela Amazon e alguns provedores compatíveis com S3.
Se você está pronto para levar isso para o próximo nível e quer saber mais sobre ransomware, eu o encorajo a conferir o Beat ransomware: Education, Implementation and Remediation with Veeam white paper e o podcast Winning the War on Ransomware de Rick Vanover abaixo para aprender as etapas mais práticas que as organizações podem tomar para proteger os dados e evitar uma situação em que a perda de dados ou o pagamento de resgate sejam as únicas opções.