O que é o ransomware?

Saiba mais sobre o ransomware, como funciona e como se pode proteger e à sua empresa contra este tipo de ciberataque.

Ransomware definido

O ransomware é um tipo de software malicioso (ou malware) que ameaça uma vítima ao destruir ou bloquear o acesso a dados ou sistemas críticos até que o resgate seja pago. A maioria do ransomware costumava ser direcionado a utilizadores individuais. Contudo, recentemente, o ransomware operado por humanos – cujo alvo são organizações – tornou-se a maior ameaça e a mais difícil de impedir e inverter. Com o ransomware operado por humanos, um grupo de atacantes utiliza a sua inteligência coletiva para aceder à rede empresarial de uma organização. Alguns ataques deste tipo são tão sofisticados que os atacantes utilizam documentos financeiros internos que expuseram para definir o preço do resgate.

Ataques de ransomware recentes

Infelizmente, as menções de ameaças de ransomware nas notícias tornaram-se uma ocorrência comum. Só em 2021, os ataques de ransomware aumentaram 935 por cento. Como pode imaginar, os efeitos podem ser devastadores. Vejamos alguns ataques de ransomware recentes e como afetaram as organizações.

Kronos

A gigante de recursos humanos (RH), Kronos, foi atingida por um ataque de ransomware em dezembro de 2021, a tal ponto que a respetiva folha de pagamentos e o sistema de folgas dos clientes que utilizam a nuvem privada da Kronos foram afetados. Tendo em conta que muitas organizações dependem da Kronos para serviços de RH, incluindo a Metropolitan Transportation Authority (Autoridade de Transporte Metropolitano) de Nova Iorque, a Universidade George Washington e o Oregon Department of Transportation (Departamento de Transporte de Oregon), a falha de segurança de dados pessoais e de informações de colaboradores não foi um acontecimento de pouca importância.

Colonial Pipeline

Em maio de 2021, o oleoduto americano de combustível Colonial Pipeline encerrou os seus serviços para impedir mais falhas de segurança depois de um ataque de ransomware ter comprometido milhares de informações pessoais dos respetivos colaboradores. Os efeitos foram catastróficos e os preços do gás subiram na costa leste, que dependem fortemente da Colonial Pipeline. No fim de contas, a empresa pagou um resgate em criptomoeda de 4,4 milhões de dólares ao grupo de pirataria criminal DarkSide. Mais tarde, o FBI confiscou cerca de 2,3 milhões de dólares.

Brenntag

A companhia alemã de distribuição de químicos Brenntag, assim como a Colonial Pipeline, sofreu um ataque de ransomware pelo grupo DarkSide. Neste ataque, que ocorreu em abril de 2021, o DarkSide afirma que conseguiu entrar na rede da Brenntag através de credenciais roubadas, que foram compradas a um vendedor anónimo. O ataque roubou as datas de nascimento, os números da Segurança Social e os números da carta de condução, assim como alguns dados médicos, de mais de 6 000 pessoas. Depois de negociar a descida do resgate original para 4,4 milhões de dólares, a Brenntag pagou.

JBS

O maior fornecedor de carne do mundo, a JBS, foi alvo de um ataque de ransomware em maio de 2021, que afetou as respetivas operações nos EUA e na Austrália. Depois de colocar offline o respetivo site e interromper temporariamente a produção, a JBS sentiu-se pressionada a agir para impedir a interrupção da cadeia de abastecimento alimentar e para evitar o aumento do preço dos alimentos. A JBS acabou por pagar um resgate de 11 milhões de dólares em bitcoin ao grupo cibercriminoso REvil.

Como é que o ransomware funciona?

Os ataques de ransomware dependem de tomar o controlo do(s) dispositivo(s) ou dos dados de um utilizador individual ou de uma organização como forma de exigir dinheiro. Em anos anteriores, os ataques de engenharia social eram os mais frequentes. Contudo, recentemente, o ransomware operado por humanos tornou-se popular entre os criminosos devido ao potencial de receber uma quantia enorme.

Ransomware de engenharia social

Estes ataques utilizam o phishing: uma forma de fraude na qual um atacante se faz passar por um site ou empresa legítima para enganar a vítima e fazê-la clicar numa ligação ou abrir um anexo de e-mail que irá instalar o ransomware no respetivo dispositivo. Normalmente, os ataques apresentam mensagens alarmistas que levam a vítima a agir por medo. Por exemplo, um cibercriminoso pode fazer-se passar por um banco bastante conhecido e enviar um e-mail a alertar alguém de que a sua conta foi bloqueada devido a atividade suspeita e instigá-lo a clicar numa ligação no e-mail para resolver o problema. Assim que alguém clica na ligação, o ransomware é instalado.

Ransomware operado por humanos

Normalmente, o ransomware operado por humanos tem origem em credenciais de conta roubadas. Assim que os atacantes tiverem obtido acesso à rede de uma organização desta forma, utilizam a conta roubada para determinar as credenciais de contas com um maior âmbito de acesso e procuram dados e sistemas críticos para a empresa com o potencial de um alto suborno financeiro. Em seguida, instalam ransomware nestes dados confidenciais ou sistemas críticos para a empresa, por exemplo, ao encriptar ficheiros confidenciais para impedir o acesso da organização até que esta pague o resgate. Os cibercriminosos tendem a pedir o pagamento em criptomoeda para manter o anonimato.

Estes atacantes escolhem como alvo organizações que podem pagar um resgate mais elevado do que as pessoas comuns e chegam a pedir, por vezes, milhões de dólares. Visto que há muito em jogo quando se trata de uma falha de segurança desta escala, muitas organizações decidem pagar o resgate em vez de arriscarem a fuga dos respetivos dados confidenciais ou a ocorrência de mais ataques por parte dos cibercriminosos, mesmo que o pagamento não garanta a prevenção dos mesmos.

À medida que os ataques de ransomware operados por humanos aumentaram, os criminosos responsáveis por estes ataques tornaram-se mais organizados. Na realidade, muitas operações de ransomware utilizam atualmente um Ransomware como Modelo de serviço, o que significa que um conjunto de programadores criminosos cria o próprio ransomware e, em seguida, contrata outros afiliados cibercriminosos para aceder de modo ilícito à rede de uma organização e instalar o ransomware, dividindo os lucros entre os dois grupos de acordo com uma taxa acordada.

Diferentes tipos de ataques de ransomware

O ransomware vem de duas formas principais: ransomware de criptomoeda e ransomware de bloqueio.

Ransomware de criptomoeda

Quando uma pessoa ou organização é vítima de um ataque de ransomware de criptomoeda, o atacante encripta os ficheiros ou dados confidenciais da vítima para que não tenham acesso a menos que paguem o resgate pedido. Em teoria, assim que a vítima paga, recebe uma chave de encriptação para ganhar acesso aos ficheiros ou dados. No entanto, mesmo que a vítima pague o resgate, não há a garantia de que o cibercriminoso irá enviar a chave de encriptação ou abdicar do controlo. O doxware é uma forma de ransomware de criptomoeda que encripta e ameaça revelar publicamente as informações pessoais da vítima, normalmente com o objetivo de humilhar ou envergonhá-la de forma a fazê-la pagar o resgate.

Locker ransomware

Num ataque de ransomware de bloqueio, o acesso da vítima ao respetivo dispositivo é bloqueado e deixa de conseguir iniciar sessão. Será apresentada à vítima uma nota de resgate no ecrã a explicar que perdeu o acesso, com instruções sobre como pagar um resgate para recuperar o acesso. Normalmente, esta forma de ransomware não envolve a encriptação, por isso, assim que a vítima recupera o acesso ao respetivo dispositivo, os dados e ficheiros confidenciais são preservados.

Responder a um ataque de ransomware

Se for vítima de um ataque de ransomware, tem opções de recurso e remoção.

Tenha cuidado em relação a pagar o resgate

Embora possa parecer tentador pagar o resgate com a esperança de fazer desaparecer o problema, não há garantias de que os cibercriminosos irão manter a palavra e dar-lhe acesso aos seus dados. Os peritos de segurança e as agências de aplicação da lei recomendam que as vítimas de ataques de ransomware não paguem os resgates pedidos porque, ao fazê-lo, podem deixar a porta aberta para ameaças futuras e estão a apoiar ativamente a indústria criminosa. Se já tiver pago, contacte imediatamente o seu banco. Este poderá conseguir parar o pagamento se tiver pago com um cartão de crédito.

Isole os dados infetados

Assim que for possível, isole os dados comprometidos para ajudar a prevenir a expansão do ransomware a outras áreas da sua rede.

Execute um programa antimalware

É possível lidar com muitos ataques de ransomware através da instalação de um programa antimalware para remover o ransomware. Assim que tiver escolhido uma solução de antimalware fidedigna, como o Windows Defender, certifique-se de que a mantém atualizada e em execução contínua para que tenha proteção contra os ataques mais recentes.

Comunique o ataque

Entre em contacto com as agências locais ou federais de aplicação da lei para comunicar o ataque. Nos Estados Unidos da América, estas são as suas escritório local do FBI, o IC3, ou o Serviço Secreto. Apesar de, provavelmente, este passo não resolver as suas preocupações imediatas, é importante porque estas autoridades monitorizam ativamente ataques diferentes. Os detalhes que lhes fornecer sobre a sua experiência podem ser informações úteis no geral relativamente a encontrar e julgar um cibercriminoso ou um grupo cibercriminoso.

Proteção contra ransomware

Devido ao número mais elevado de sempre de ataques de ransomware e de tantas informações pessoais estarem contidas digitalmente, as potenciais repercussões de um ataque são assustadoras. Felizmente, há muitas formas de manter a sua vida digital em segurança e de não a revelar a ninguém. Eis como pode ganhar tranquilidade com a proteção contra ransomware proativa.

Instale um programa antimalware

A melhor forma de proteção é a prevenção. Muitos dos ataques de ransomware podem ser detetados e bloqueados através de um serviço antimalware fidedigno, como o Microsoft Sentinel, Microsoft 365 Defender ou Microsoft Defender para a Cloud. Quando utiliza um programa antimalware, em primeiro lugar o seu dispositivo analisa quaisquer ficheiros ou ligações que tenta abrir para ajudar a garantir que são seguros. Se um ficheiro ou site for malicioso, o programa antimalware irá alertá-lo e sugerir que não o abra. Estes programas também podem remover ransomware de um dispositivo que já esteja infetado.

Realize formações regulares

Mantenha os colaboradores informados sobre como reconhecer sinais de phishing e outros ataques de ransomware através de formações regulares. Isto irá ensinar-lhes práticas de trabalho mais seguras e como se podem manter em segurança quando utilizam os respetivos dispositivos pessoais.

Mude para a nuvem

Quando muda os seus dados para um serviço baseado na nuvem, como o Serviço de Criação de Cópias de Segurança na Nuvem do Azure, o Backup de Armazenamento de Blobs de Blocos do Azure ou os Serviços de Recuperação e de Cópia de Segurança do Office 365, irá poder fazer a cópia de segurança dos dados para uma manutenção mais segura. Se os seus dados alguma vez forem comprometidos por ransomware, estes serviços ajudam a garantir que a recuperação é imediata e compreensiva.

Adote um modelo Confiança Zero

Um modelo Confiança Zero avalia todos os dispositivos e utilizadores em relação aos riscos antes de permitir que acedam a aplicações, ficheiros, bases de dados e outros dispositivos, o que diminui a probabilidade de um dispositivo ou identidade maliciosa conseguir aceder aos recursos e instalar ransomware. Por exemplo, foi provado que a implementação da autenticação multifator, uma componente do modelo Confiança Zero, reduz a eficácia de ataques de identidade até mais de 99%. Para avaliar a fase de maturidade do modelo Confiança Zero da sua organização, realize a nossa Avaliação de Maturidade do Modelo Confiança Zero.

Adira a um grupo de partilha de informações

Os grupos de partilha de informação, frequentemente organizados por indústria ou localização geográfica, promovem o trabalho em conjunto de organizações estruturadas de forma semelhante a fim de encontrarem soluções de cibersegurança. Os grupos também oferecem vantagens diferentes às organizações, como a resposta a incidentes e serviços de análise forense digital, notícias sobre as ameaças mais recentes e a monitorização de domínios e intervalos de endereços IP públicos.

Mantenha cópias de segurança offline

Visto que algum ransomware irá tentar localizar e eliminar quaisquer cópias de segurança online que possa ter, é uma boa ideia manter uma cópia de segurança offline atualizada de dados confidenciais que teste regularmente para garantir que se pode restaurar se for alvo de um ataque de ransomware. Infelizmente, manter uma cópia de segurança offline não irá resolver o problema se tiver sido alvo de um ataque de ransomware em criptomoeda, mas pode ser uma ferramenta eficaz num ataque de ransomware de bloqueio.

Mantenha o software atualizado

Além de manter todas as soluções de antimalware atualizadas (considere escolher atualizações automáticas), certifique-se de que transfere e instala todas as outras atualizações do sistema e patches de software assim que estiverem disponíveis. Isto ajuda a minimizar quaisquer vulnerabilidades de segurança que um cibercriminoso possa explorar para ganhar acesso à sua rede ou dispositivos.

Crie um plano de resposta a incidentes

Tal como ter um plano de emergência em vigor para sair da sua casa se houver um incêndio o mantém mais seguro e preparado, criar um plano de resposta a incidentes para o que fazer se for alvo de um ataque de ransomware irá fornecer-lhe passos acionáveis para tomar em diferentes cenários de ataque, para que possa voltar a uma execução normal e segura o quanto antes.

Infelizmente, quase todas as pessoas com uma presença online podem ser alvo de um ataque de ransomware. Os dispositivos pessoais e as redes empresariais são alvos frequentes de cibercriminosos.

No entanto, investir em soluções proativas, como os serviços de proteção contra ameaças, é uma forma viável de prevenir que o ransomware alguma vez infete a sua rede ou dispositivos. Por este motivo, é menos provável que as pessoas e organizações com programas antimalware e outros protocolos de segurança em vigor, como um modelo Confiança Zero, antes da ocorrência de um ataque, sejam vítimas de um ataque de ransomware.

Os ataques de ransomware tradicionais ocorrem quando alguém é levado a interagir com conteúdo malicioso, como abrir um e-mail infetado ou visitar um site prejudicial, que instala ransomware no seu dispositivo.

Num ataque de ransomware operado por humanos, um grupo de atacantes define como alvo e explora uma falha de segurança nos dados confidenciais de uma organização, normalmente através de credenciais roubadas.

Normalmente, tanto nos casos de ransomware de engenharia social como de ransomware operado por humanos, irá ser apresentada à vítima ou organização uma nota de resgate que especifica os dados que foram roubados e o custo da respetiva devolução. No entanto, o pagamento do resgate não garante a devolução real dos dados ou a prevenção de futuras falhas de segurança.

Os efeitos de um ataque de ransomware podem ser devastadores. Tanto ao nível organizacional como individual, as vítimas podem sentir-se forçadas a pagar resgates altos sem a garantia de que os seus dados serão devolvidos ou que não vão ocorrer mais ataques. Se as informações confidenciais de uma organização forem alvo de uma fuga de informações por um cibercriminoso, a reputação desta pode ser manchada e vista como não fidedigna. Além disso, consoante o tipo de informações alvo de fuga e a dimensão da organização, milhares de pessoas podem estar em risco de se tornarem vítimas de roubo de identidade ou de outros cibercrimes.

Os cibercriminosos que infetam os dispositivos das vítimas com ransomware querem dinheiro. Tendem a definir os regastes em criptomoeda devido à sua natureza anónima e indetetável. Num ataque de ransomware de engenharia social contra um utilizador individual, o resgate pode chegar às centenas ou aos milhares de dólares. Num ataque de ransomware operado por humanos contra uma organização, o resgate pode ser de milhões de dólares. Estes ataques mais sofisticados contra organizações podem utilizar informações financeiras confidenciais que os cibercriminosos encontraram quando entraram de forma ilícita na rede como motivo para definir um resgate que acreditam que a organização pode pagar.

As vítimas devem comunicar os ataques de ransomware às respetivas agências locais ou federais de aplicação da lei. Nos Estados Unidos da América, estas são as suas escritório local do FBI, oIC3, ou o Serviço Secreto. Os peritos de segurança e os oficiais de aplicação da lei recomendam que as vítimas não paguem os resgastes. Se já tiver pago, contacte imediatamente o seu banco e as autoridades locais. O seu banco poderá conseguir bloquear o pagamento se tiver pago com um cartão de crédito.