Há muito o que aprender sobre ataques de ransomware. Esta publicação pretende responder às perguntas mais frequentes sobre esse assunto.
Quando o ransomware foi descoberto pela primeira vez?
O primeiro ransomware foi criado em 1989 pelo biólogo evolucionário de Harvard, Joseph L. Popp (que hoje é conhecido como o 'pai do ransomware'). Seu malware foi batizado de AIDS Trojan, também conhecido como PC Cyborg. Popp enviou 20.000 disquetes infectados com o rótulo “Informações sobre AIDS - Disquetes introdutórios” aos participantes da conferência internacional sobre AIDS da Organização Mundial da Saúde em Estocolmo. Os discos continham código malicioso que ocultava diretórios, bloqueava nomes de arquivos e exigia que as vítimas enviassem US $ 189 para uma caixa postal no Panamá se quisessem seus dados de volta.
O Trojan AIDS era um malware ransomware de “geração um” e relativamente fácil de superar. O Trojan usava criptografia simétrica simples e ferramentas para descriptografar os nomes dos arquivos logo foram disponibilizadas.
Como funciona um ataque de ransomware?
Ransomware é um tipo de software malicioso que os cibercriminosos usam para bloquear o acesso aos dados das vítimas afetadas. Os sequestradores digitais criptografam os arquivos, adicionam extensões aos dados atacados e os mantêm “reféns” até que o resgate exigido seja pago.
Ataques de ransomware geralmente se tornam evidentes quando é exbidia uma tela exigindo pagamento em troca da restauração dos arquivos. Os invasores geralmente mostram como pagar a taxa de ransomware para receber uma chave de descriptografia.
Dispositivos Android podem ser atacados por ransomware?
Qualquer dispositivo pode ser infectado com ransomware, inclusive os que utilizam o Android. Por ser o sistema operacional mais comum em smartphones, a tendência é que as infecções de ransomware passem a acontecer com mais frequência nesses dispositivos.
Sistemas operacionais Linux podem ser infectados por ransomware?
Sim. É um mito que os sistemas operacionais Linux são completamente seguros. Eles são tão suscetíveis a ransomware quanto qualquer outro sistema.
O ransomware pode sequestrar arquivos criptografados?
Sim, o ransomware pode criptografar arquivos que já estão criptografados. Independentemente de você utilizar a criptografia com base em dispositivo ou arquivo, o ransomware ainda consegue criptografar e sequestrar os arquivos da vítima.
Para evitar o risco de ter que lidar com arquivos criptografados faça backups regulares de todos os seus dados. Um bom antivírus e/ou firewall também ajuda a impedir que os criminosos cibernéticos instalem um ransomware que pode danificar seus arquivos.
Arquivos armazenados em serviços de nuvem como Google Drive, OneDrive e Dropbox podem ser infectados por ransomware?
Sim. Arquivos armazenados em nuvem podem sofrer infecções de ransomware. Esse armazenamento é suscetível a ataques de ransomware já que esses serviços sincronizam os arquivos com o armazenamento local. Se o ransomware afetar seus arquivos locais, o mecanismo de compartilhamento de arquivos (Google Drive, DropBox e OneDrive) fará o upload do código malicioso para seus arquivos na nuvem.
O mesmo fenômeno é verdadeiro em relação aos gateways de armazenamento ou outras soluções baseadas em nuvem. Uma cópia infectada localmente será convertida em uma cópia infectada/criptografada na nuvem.
O ransomware pode se espalhar por wi-fi?
Sim, o ransomware pode se mover através de redes wi-fi para infectar computadores. Os ataques de ransomware podem interromper redes inteiras, levando a graves consequências.
O código malicioso também pode se espalhar por diferentes redes wi-fi, operando como um worm de computador. Para evitar a disseminação dessa forma, certifique-se de que os roteadores e PCs estejam seguros.
Especificamente, certifique-se de usar senhas fortes em seus dispositivos. O ransomware Emotet , por exemplo, é capaz de quebrar senhas com rapidez e se espalhar lateralmente em conexões wi-fi.
Discos rígidos (HDs) externos podem ser infectados por ransomware?
Sim. O ransomware consegue infectar todos os dispositivos conectados em uma rede, incluindo discos rígidos (HDs) externos. Se o disco rígido não se conectar a rede, o ransomware não conseguirá infectá-lo, mas lembre-se que também é importante verificar se a unidade externa já não está infectada com ransomware antes de conecta-la ao seu sistema.
VEJA TAMBÉM: Ransomware: Não pague os cibercriminosos, diz Ministra do Interior do Reino Unido, Priti Patel
Por que os ataques de ransomware estão aumentando?
Os ataques de ransomware estão aumentando porque os invasores aperfeiçoaram suas técnicas, enquanto empresas de vários setores não conseguiram resolver suas deficiências críticas de segurança cibernética.
Além disso, mais empresas estão optando por pagar o resgate para obter suas informações de volta, possibilitando aos hackers ganhos expressivos, sem a necessidade da venda de dados na dark web para obter lucro.
Ransomwares podem ser removidos?
Remover um ransomware é bem mais difícil do que outras variedades de malwares. Para dificultar a remoção, muitos programas de ransomware se autodestruem (ou seja, se excluem), após um período de tempo especificado pelos hackers. Nos casos em que o ransomware não se autodestrói, as ferramentas de remoção de ransomware podem ser mais eficazes.
Como remover um ransomware?
Um computador infectado com ransomware pode ser desinfectado, ainda que nem sempre seja possível. Para iniciar o processo, isole o dispositivo afetado, desconectando-o da rede.
Em alguns casos, reiniciar o computador no Modo de Segurança, instalar software antimalware, verificar o sistema para identificar o ransomware e seguir as instruções do software antivírus pode remover o ransomware de um computador. No entanto, essas etapas não descriptografam os arquivos sequestrados.
Para descriptografar arquivos, as organizações podem pagar aos hackers pelas chaves de descriptografia, embora esse método não seja recomendado. Caso a empresa consiga identificar o tipo de ransomware no dispositivo, pode ser possível encontrar uma ferramenta de descriptografia de ransomware especialmente projetada para recuperação de arquivos. O site nomoreransom.org oferece 160.000 ferramentas de descriptografia.
Como alternativa, as organizações devem investir em backups para a restauração de arquivos. Os especialistas recomendam que as organizações mantenham vários backups (na nuvem e em dispositivos externos) de dados importantes.
Como último recurso, as organizações podem contratar equipes de perícia e segurança cibernética para ajudar na remoção do ransomware. Em casos específicos, os especialistas podem descriptografar dispositivos com sucesso.
Por que os resgates de ransomware costumam ser pagos em bitcoin?
O Bitcoin funciona como um dinheiro eletrônico e dificulta o rastreamento, apesar de ser um sistema de pagamento confiável que funciona de forma eficaz.
No entanto, transformar bitcoins em moeda fiduciária pode ser um desafio para os hackers, especialmente em países em que essas operações são regulamentadas.
Quem está por trás dos ataques de ransomware?
Isso varia de caso para caso. Os cibercriminosos por trás do ransomware costumam estar ligados a grupos do crime organizado ou a governos estrangeiros com motivações políticas. Aqueles que implementam ransomware geralmente passam meses, ou até anos, trabalhando nos elementos fundamentais do ataque. Seu objetivo é garantir que o ataque seja feito de forma furtiva. Grupos e indivíduos por trás de ataques de ransomware fazem tudo ao seu alcance para evitar a identificação.
Fonte: CyberTalk
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.