Ataque de Ransomware – Tipos e características

Ataque Ransomware

Neste artigo vamos explicar sobre o ataque de Ransomware e suas principais características e como essa ameaça digital vem afetando milhares de empresas ao redor do mundo e no Brasil.

Essa ameaça existe há mais de 30 anos, não é de hoje que os cibercriminosos fazem uso deste tipo de malware para ameaçar e extorquir as empresas, com objetivo de obter lucros. Porém esse tipo de ataque vem crescendo em popularidade desde 2015, com grandes incidentes sendo relatados na mídia.

Em junho de 2015, uma variedade de Ransomware chamada CryptoWall acumulou mais de US$ 18 milhões em lucro, de acordo com o Federal Bureau of Investigation (FBI). O ransomware continua a dominar as manchetes em todo o mundo, pois as estratégias de proteção legadas não são capazes de lidar com as táticas em constante evolução dos cibercriminosos.

Segundo dados do relatório de Ameaças Cibernéticas 2022 da SonicWall – os ataques em nível global tiveram uma ascensão meteórica e atingiram a casa de 623,3 milhões de casos.  A crescente no volume de ataques cibernéticos se reflete também no Brasil e em toda a América Latina. Segundo o mesmo relatório, o Brasil sofreu mais de 33 milhões de tentativas de ataque de Ransomware em 2021. Se levarmos em consideração esse volume de ataques, o Brasil é o quarto maior alvo de ataque de ransomware no mundo.

O Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados divulga em seu website uma timeline dos principais incidentes cibernéticos do ano. É interessante perceber como houve um aumento significativo de empresas atacadas, com grandes nomes aparecendo na lista.

 

Timeline de Incidentes Relevantes 2020

Ataque de Ransomware
Legenda: Contexto 2020 – Ataques Cibernéticos com repercussão na mídia – Fonte: https://www.ibraspd.org/incidentes

 

 

Timeline de Incidentes Relevantes 2021

Ataque Ransomware 2021
Legenda: Contexto 2021 – Ataques Cibernéticos com repercussão na mídia – Fonte: https://www.ibraspd.org/incidentes

 

Como funcionam o ataque de Ransomware?

Um Ransomware é um tipo de malware, que como outras ameaças digitais, infecta computadores e servidores.  O Ransomware pode contaminar a rede de uma empresa de diversas maneiras: quando um usuário baixa um anexo de e-mail que possui o malware ou interage sem saber com um link malicioso ou visita um site comprometido.

Quando o Ransomware infecta um sistema, ele tem como foco criptografar os arquivos da máquina vítima e bloquear o acesso ao computador.  Logo depois deste evento, o hacker pede um resgate – geralmente em bitcoin ou outra criptomoeda – em troca de uma chave que desbloqueará o sistema ou os arquivos criptografados. Essa é a ideia básica. Existem vários subtipos de ransomware que servem a propósitos diferentes, dependendo dos objetivos do invasor.

 

Tipos de Ataque Ransonware

1) Crypto Ransomware

Esse é o tipo mais conhecido de Ransomware, essa variedade criptografa os arquivos e dados do sistema operacional, tornando-os inutilizáveis. Para abrir os arquivos é necessário pagar um resgate ao invasor. Esse tipo de ameaça tem como foco atingir empresas, que podem sofrer ao ter seus dados e servidores sequestrados e que não podem arcar com tempo de inatividade.

 

Loki Ransomware
Legenda: Tela de bloqueio de um Ransomware do tipo Crypto Ransomware

 

2) Ransomware as a service

Os provedores de RaaS recebem pagamentos de outros cibercriminosos em troca de uma licença para usar um ransomware pré-construído. O criminoso “cliente” geralmente precisa fazer muito pouco, pois o software que realiza o ataque de ransomware já vem pronto, exigindo pouco conhecimento do atacante “cliente”, ou seja, só basta que ele tenha má fé e escolha as vítimas.

 

Ransomware as a Service
Legenda: Exemplo de um anúncio de um site da Deep Web com a venda de um Ransomware as a Service

 

3) Locker Ransomware

Lockerware é semelhante ao ransomware de criptografia, mas em vez de criptografar arquivos, ele bloqueia o acesso do usuário a todo o sistema, geralmente mostrando as exigências do hacker em uma “tela de bloqueio”.

 

4) Leakware – Ransomware de Vazamento de Dados

Também chamada de doxware, essa variedade tem como alvo indivíduos ou organizações e ameaça divulgar publicamente dados confidenciais da vítimas  ou vendê-los a terceiros, se um resgate não for pago. O Leakware é comumente tem como foco redes corporativas e é entregue via campanhas de phishing por e-mail.

 

Principais alvos de um ataque de Ransomware

As empresas continuam a ser o principal alvo de um ataque de Ransomware, segundo dados coletados pela Trellix e divulgados no Advanced Threat Research Report: January 2022, bancos e empresas do segmento financeiro foram o alvo mais comum de Ransomware durante o período de 2020/2021, respondendo por 22% dos ataques detectados,  seguido por 20% dos ataques direcionados ao setor de serviços públicos e 16% dos ataques direcionados ao setor de varejo. Os ataques contra os três setores somados representaram 58% de todos os ataques registrados.

Um outro setor muito visado pelas gangues de Ransomware é o de Utilities, porque a natureza do setor esta ligada ao fornecimento de serviços essenciais para pessoas e empresas e, quando esses serviços se tornam indisponíveis, o impacto é enorme – como demonstrado pelo ataque de ransomware contra a Colonial Pipeline , que levou à escassez de gás no nordeste dos Estados Unidos. O incidente ‘obrigou” a  empresa Colonial a pagar um resgate de milhões aos criminosos cibernéticos para receber a chave de descriptografia.

Seja qual for o tipo, o Ransomware é tão eficaz em parte porque tem a capacidade de burlar e ignorar ferramentas tradicionais de defesa, como antivírus básicos e autenticação de usuário legadas. Além disso, certos tipos de empresas são mais vulneráveis ​​a ataques de Ransomware: por terem baixa maturidade em Cibersegurança ou utilizarem ferramentas que não fornecem níveis de efetividade apropriados para os riscos da operação do negócio.

 

Como se proteger de um ataque de Ransomware?

Garantir uma proteção efetiva contra um ataque de Ransomware envolve uma série de ações, pois não existe uma única tecnologia capaz de mitigar 100% do risco.  Como as variantes de Ransomware de hoje são adaptadas aos seus alvos, medidas eficazes de mitigação precisam levar em consideração novas variantes e ameaças de dia zero.

Aqui na NowCy defendemos a estratégia de defesa em camadas, isso significa que devemos pensar em uma arquitetura de segurança com mais de uma barreira de proteção. Faço sempre a analogia do muro – em qual casa você se sentiria mais seguro morando:

A) Uma casa com somente um muro?

B) Uma casa com muro e com cacos de vidros na parede?

C) Uma casa com muro, com cacos de vidros na parede e uma cerca elétrica?

A resposta mais óbvia é a letra C, isso é defesa em camadas. Levar em consideração mais de uma tecnologia de proteção com foco em evitar invasões e ataques de Ransomware.

Pensando no ambiente de uma empresa existem dezenas de tecnologias que somadas podem fornecer uma estratégia de segurança em camadas, algumas dessas tecnologias são:

  • Firewall de Rede / Next Generation Firewall
  • Filtro de Conteúdo Web
  • Antivírus com EDR
  • SIEM
  • Antispam
  • Dentre outras

 

Conclusão

Como demonstram  as pesquisas e os noticiários, o Ransomware é uma ameaça digital que chegou para ficar e infelizmente os ataques vem crescendo ano após ano. Para acompanhar as ameaças atuais e proteger a rede da sua empresa desses ataques, é necessário tecnologia e estratégia adequada.

Os ataques de ransomware têm muitas aparências diferentes e vêm em todas as formas e tamanhos. O vetor de ataque é um fator importante para os tipos de ransomware usados. Para estimar o tamanho e a extensão do ataque, é necessário sempre considerar o que está em jogo ou quais dados podem ser excluídos ou publicados . Porém o mais importante é estar preparado para um incidentes deste tipo, a prevenção e o monitoramento são as melhores armas de defesa.

Percebeu como um ataque de Ransomware é um problema para sua empresa?  A NowCy é especialista em soluções de Cibersegurança e Governança de SI e já ajudou milhares de empresas na escolha e implantação de tecnologias de defesa e proteção, contra ataques avançados de Ransomware.

 

Entre em contato e agende uma apresentação!

Perfil do Autor

Leandro Lima
Leandro Lima
Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.

Compartilhe