O que é ransomware?

Saiba mais sobre o ransomware, como ele funciona e como você pode proteger a si mesmo e seus negócios deste tipo de ataque cibernético.

Proteger contra ransomware

Ransomware definido

Ransomware é um tipo de software mal-intencionado, ou malware, que ameaça uma vítima destruindo e bloqueando o acesso a dados críticos ou sistemas até que um resgate seja pago. Historicamente, grande parte dos ransomware visava indivíduos, mas mais recentemente, o ransomware operado por humanos, que tem como alvo as organizações, tornou-se a ameaça maior e mais difícil de prevenir e reverter. Com ransomware operado por humanos, um grupo de invasores usam sua inteligência coletiva para obter acesso a uma rede empresarial da organização. Alguns ataques deste tipo são tão sofisticados que os invasores usam documentos financeiros internos que descobriram para definir o preço do resgate.

Ataques de ransomware recentes

Infelizmente, menções de ameaças de ransomware nas notícias se tornaram uma ocorrência comum. Apenas em 2021, os ataques ransomware dispararam em 935%. Como você pode imaginar, os efeitos podem ser devastadores. Vejamos alguns ataques de ransomware recentes e como eles afetaram as organizações.

Kronos

A gigante de RH (recursos humanos) Kronos foi atingido por um ataque de ransomware em dezembro de 2021, momento em que seu sistema de folha de pagamento e folga para os clientes usam o Kronos Private Cloud foi afetado. Como muitas organizações contam com a Kronos para serviços de RH, incluindo a Metropolitan Transportation Authority da cidade de Nova York, a George Washington University e o Departamento de Transporte do Oregon, a violação de dados pessoais e informações de funcionários não era pouca coisa.

Colonial Pipeline

Em maio de 2021, o gasoduto de combustível dos EUA Colonial Pipeline interrompeu seus serviços para evitar novas violações depois que um ataque de ransomware comprometeu milhares de informações pessoais de seus funcionários. Os efeitos foram catastróficos e elevaram os preços do gás em toda a Costa Leste, que depende fortemente da Colonial Pipeline. Por fim, a empresa pagou um resgate em criptomoeda de US$ 4,4 milhões ao grupo de hackers criminosos DarkSide. O FBI conseguiu recuperar posteriormente cerca de US $ 2,3 milhões.

Brenntag

A empresa alemã de distribuição de produtos químicos Brenntag, como a Colonial Pipeline, sofreu um ataque de ransomware da DarkSide. Nesse ataque, ocorrido em abril de 2021, a DarkSide diz que conseguiu violar a rede da Brenntag por meio de credenciais roubadas compradas de um vendedor não identificado. O ataque roubou as datas de nascimento, números de previdência social e números de carteira de motorista de mais de 6 mil indivíduos, bem como alguns dados médicos. A Brenntag pagou após negociar o resgate original de US$ 4,4 milhões.

JBS

A maior fornecedora de carnes do mundo, a JBS foi alvo de um ataque de ransomware em maio de 2021 que afetou suas operações na América do Norte e Austrália. Após deixar temporariamente seu site offline e paralisar as produções, a JBS se sentiu pressionada a agir para evitar que a cadeia de abastecimento de alimentos fosse interrompida e evitar o aumento dos preços dos alimentos. A JBS acabou pagando um resgate de US$ 11 milhões em Bitcoin ao grupo criminoso cibernético REvil.

Como o ransomware funciona?

Os ataques de ransomware dependem de assumir o controle dos dados ou dispositivos de um indivíduo ou da organização como meio de exigir dinheiro. Nos anos anteriores, os ataques de engenharia social eram os mais prevalentes, mas recentemente, o ransomware operado por humanos tornou-se popular entre os criminosos devido ao potencial de um grande pagamento.

Ransomware de engenharia social

Esses ataques usam phishing – uma forma de engano na qual um invasor se apresenta como uma empresa ou site legítimos – para induzir a vítima a clicar em um link ou abrir um anexo de email que instalará o ransomware em seu dispositivo. Os ataques geralmente apresentam mensagens alarmistas que levam a vítima a agir por medo. Por exemplo, um criminoso cibernético pode se passar por um banco conhecido e enviar um email alertando alguém de que sua conta foi congelada devido a atividades suspeitas, pedindo que cliquem em um link no email para resolver o problema. Quando eles clicam no link, o ransomware é instalado.

Ransomware operado por humanos

O ransomware operado por humanos geralmente começa por meio de credenciais de conta roubadas. Depois que os invasores obtêm acesso à rede de uma organização dessa maneira, eles usam a conta roubada para determinar as credenciais de contas com escopos de acesso mais amplos e procuram dados e sistemas críticos para os negócios com potencial de alto retorno financeiro. Eles instalam ransomware nesses dados confidenciais ou em sistemas críticos para os negócios, por exemplo, criptografando arquivos confidenciais para que a organização não possa acessá-los até pagar um resgate. Os criminosos cibernéticos tendem a pedir pagamento em criptomoeda por causa de seu anonimato.

Esses invasores têm como alvo grandes organizações que podem pagar um resgate mais alto do que o indivíduo comum, às vezes exigindo milhões de dólares. Devido aos altos riscos envolvidos em uma violação dessa escala, muitas organizações optam por pagar o resgate em vez de ter seus dados confidenciais vazados ou arriscar novos ataques dos criminosos cibernéticos, mesmo que o pagamento não garanta a prevenção de nenhum dos resultados.

Conforme os ataques de ransomware operados por humanos cresceram, os criminosos por trás dos ataques tornaram-se mais organizados. Na verdade, muitas operações de ransomware agora usam um modelo de Ransomware como Serviço, o que significa que um conjunto de desenvolvedores criminosos cria o próprio ransomware e contrata outros criminosos cibernéticos para hackear a rede de uma organização e instalar o ransomware, dividindo os lucros entre os dois grupos em uma taxa acordada.

Diferentes tipos de ataques de ransomware

Ransomware vem em duas formas principais: ransomware crypto e ransomware locker.

Ransomware crypto

Quando um indivíduo ou organização é vítima de um ataque de ransomware crypto, o invasor criptografa os dados ou arquivos confidenciais da vítima para que ela não possa ter acesso a menos que pague um resgate. Em teoria, quando a vítima paga, ela recebe uma chave de criptografia para ter acesso aos arquivos ou dados. No entanto, mesmo que a vítima pague o resgate, não há garantia de que o criminoso cibernético enviará a chave de criptografia ou abrirá mão do controle. Doxware é uma forma de ransomware crypto que criptografa e ameaça revelar publicamente as informações pessoais de uma vítima, geralmente com o objetivo de humilhar ou envergonhá-la para pagar o resgate.

Ransomware locker

Em um ataque de ransomware locker, a vítima é bloqueada em seu dispositivo e incapaz de fazer login. A vítima receberá uma nota de resgate na tela explicando que foi bloqueada e incluindo instruções sobre como pagar para recuperar o acesso. Essa forma de ransomware normalmente não envolve criptografia. Portanto, quando a vítima recupera o acesso ao dispositivo, todos os arquivos e dados confidenciais são preservados.

Responder a um ataque de ransomware

Se você for vítima de um ataque de ransomware, terá opções de recurso e remoção.

Tenha cuidado com o pagamento de resgates

Embora possa ser tentador pagar o resgate na esperança de acabar com o problema, não há garantia de que os criminosos cibernéticos manterão sua palavra e concederão acesso aos dados. Especialistas em segurança e agências de aplicação da lei recomendam que as vítimas de ataques de ransomware não paguem os resgates solicitados, porque isso pode deixar as vítimas abertas a ameaças futuras e apoiar ativamente uma indústria criminosa. Se você já pagou, entre em contato imediatamente com seu banco – ele pode interromper o pagamento se você pagou com cartão de crédito.

Isolar os dados infectados

Assim que puder, isole os dados comprometidos para ajudar a evitar que o ransomware se espalhe para outras áreas da sua rede.

Executar um programa antimalware

Muitos ataques de ransomware podem ser tratados com a instalação de um programa antimalware para remover o ransomware. Depois de escolher uma solução antimalware respeitável, como o Windows Defender, certifique-se de mantê-la atualizada e sempre em execução para ter proteção contra os ataques mais recentes.

Relatar o ataque

Entre em contato com as agências de aplicação da lei locais ou federais para denunciar o ataque. Nos Estados Unidos, são o escritório local do FBI, o IC3 ou o Serviço Secreto. Embora essa etapa provavelmente não resolva nenhuma de suas preocupações imediatas, é importante porque essas autoridades rastreiam e monitoram ativamente diferentes ataques. Fornecer detalhes sobre sua experiência pode ser uma informação útil para encontrar e processar um criminoso cibernético ou um grupo de criminosos cibernéticos.

Proteção contra ransomware

Com ataques de ransomware mais altos do que nunca e tantas informações pessoais das pessoas contidas digitalmente, as possíveis consequências de um ataque são assustadoras. Felizmente, há muitas maneiras de manter sua vida digital exatamente dessa forma – sua vida digital, não a de outra pessoa. Confira como obter paz de espírito com proatividade proteção contra ransomware.

Instalar um programa antimalware

A melhor forma de proteção é prevenção. Muitos ataques de ransomware podem ser detectados e bloqueados com um serviço antimalware confiável, como Microsoft Sentinel, Microsoft 365 Defender ou Microsoft Defender para Nuvem. Quando você usa um programa antimalware, seu dispositivo primeiro verifica todos os arquivos ou links que tenta abrir para ajudar a garantir que eles sejam seguros. Se um arquivo ou site for malicioso, o programa antimalware o alertará e sugerirá que você não o abra. Esses programas também podem remover ransomware de um dispositivo já infectado.

Realizar treinamentos regulares

Mantenha os funcionários informados sobre como identificar os sinais de phishing e outros ataques de ransomware com treinamentos regulares. Isso não apenas ensinará práticas mais seguras para o trabalho, como também será mais seguro ao usar seus dispositivos pessoais.

Mudar para a nuvem

Quando você mover seus dados para um serviço baseado em nuvem, como o Serviço de Backup na Nuvem do Azure, Backup de Armazenamento de Blobs em Bloco do Azure ou Serviços de Backup e Recuperação do Office 365, poderá facilmente fazer backup dos dados para mantê-los seguros. Se seus dados forem comprometidos por ransomware, esses serviços ajudarão a garantir que a recuperação seja imediata e abrangente.

Adotar um modelo de Confiança Zero

Um modelo de Confiança Zero avalia todos os dispositivos e usuários quanto ao risco antes de permitir que eles acessem aplicativos, arquivos, bancos de dados e outros dispositivos, diminuindo a probabilidade de que uma identidade ou dispositivo malicioso possa acessar recursos e instalar ransomware. Como exemplo, a implementação da autenticação multifator, um componente de um modelo de Confiança Zero, demonstrou reduzir a eficácia dos ataques de identidade em mais de 99%. Para avaliar o estágio de maturidade da Confiança Zero da organização, realize nossa Avaliação de maturidade da Confiança Zero.

Participar de um grupo de compartilhamento de informações

Grupos de compartilhamento de informações, frequentemente organizados por setor ou localização geográfica, incentivam organizações estruturadas de maneira semelhante a trabalharem juntas em direção a soluções de segurança cibernética. Os grupos também oferecem diferentes benefícios às organizações, como serviços de resposta a incidentes e forense digital, notícias sobre as ameaças mais recentes e monitoramento de intervalos e domínios de IP públicos.

Manter backups offline

Como alguns ransomware tentarão procurar e excluir quaisquer backups online que você possa ter, é uma boa ideia manter um backup offline atualizado de dados confidenciais que você testa regularmente para garantir que seja restaurável caso seja atingido por um ataque de ransomware. Infelizmente, manter um backup offline não resolverá o problema se você for atingido por um ataque de ransomware crypto, mas poderá ser uma ferramenta eficaz para usar em um ataque de ransomware locker.

Manter o software atualizado

Além de manter todas as soluções antimalware atualizadas (considere a escolha de atualizações automáticas), baixe e instale quaisquer outras atualizações do sistema e patches de software assim que estiverem disponíveis. Isso ajuda a minimizar quaisquer vulnerabilidades de segurança que um criminoso cibernético possa explorar para obter acesso à sua rede ou aos seus dispositivos.

Criar um plano de resposta a incidentes

Assim como ter um plano de emergência para como sair de casa em caso de incêndio mantém você mais seguro e preparado, criar um plano de resposta a incidentes sobre o que fazer se for atingido por um ataque de ransomware fornecerá etapas acionáveis para enfrentar diferentes cenários de ataque para que possa voltar a funcionar normalmente e com segurança o mais rápido possível.

Infelizmente, praticamente qualquer pessoa com uma presença online pode se tornar vítima de um ataque de ransomware. Dispositivos pessoais e redes empresariais são alvos frequentes de criminosos cibernéticos.

No entanto, investir em soluções proativas, comoserviços de proteção contra ameaças, é uma forma viável de impedir que o ransomware infecte sua rede ou dispositivos. Portanto, indivíduos e organizações com programas antimalware e outros protocolos de segurança em vigor, como um modelo de Confiança Zero, antes que ocorra um ataque, são os menos propensos a se tornarem vítimas de um ataque de ransomware.

Os ataques tradicionais de ransomware ocorrem quando um indivíduo é induzido a se envolver com conteúdo mal-intencionado, como abrir um email infectado ou acessar um site prejudicial, que instala o ransomware em seu dispositivo.

Em um ataque de ransomware operado por humanos, um grupo de invasores visa e viola os dados confidenciais de uma organização, geralmente por meio de credenciais roubadas.

Normalmente, para ransomware de engenharia social e ransomware operado por humanos, uma vítima ou organização receberá uma nota de resgate que detalha os dados que foram roubados e o custo para devolvê-los. No entanto, pagar o resgate não garante que os dados sejam realmente devolvidos ou que futuras violações sejam evitadas.

Os efeitos de um ataque de ransomware podem ser devastadores. Tanto no nível individual quanto no organizacional, as vítimas podem se sentir forçadas a pagar altos resgates sem garantia de que seus dados serão devolvidos a elas ou que novos ataques não ocorrerão. Se um criminoso cibernético vazar informações confidenciais de uma organização, sua reputação poderá ser manchada e vista como não confiável. Dependendo do tipo de informação vazada e do tamanho da organização, milhares de indivíduos podem correr o risco de se tornarem vítimas de roubo de identidade ou outros crimes cibernéticos.

Criminosos cibernéticos que infectam os dispositivos das vítimas com ransomware querem dinheiro. Eles tendem a definir resgates em criptomoeda devido a sua natureza anônima e não rastreável. Em um ataque de ransomware de engenharia social direcionado a um indivíduo, o resgate pode ser de centenas ou milhares de dólares. Em um ataque de ransomware operado por humanos visando uma organização, o resgate pode ser de milhões de dólares. Esses ataques mais sofisticados contra organizações podem usar informações financeiras confidenciais que os criminosos cibernéticos encontraram ao violar a rede como base para definir um resgate que eles acreditam que a organização pode pagar.

As vítimas devem denunciar ataques de ransomware para as agências de aplicação da lei local e federal. Nos Estados Unidos, são o escritório local do FBI, o IC3 ou o Serviço Secreto. Especialistas em segurança e autoridades de aplicação da lei recomendam que as vítimas não paguem resgates – se você já pagou, entre em contato imediatamente com seu banco e as autoridades locais. Seu banco pode bloquear o pagamento se você tiver pagado com um cartão de crédito.