Ransomware: modalidade de ciberataque já sugere necessidade de backups offline

Maior alvo são governos e empresas do setor industrial. Saiba como proteger seus dados

O malware também conhecido como Ransomware vem causando reboliço entre profissionais de cibersegurança pois, assim como nos vírus biológicos, sua estrutura sofre alterações, dificultando o desenvolvimento de softwares de defesa eficientes contra todas as suas versões. 

O primeiro Ransomware foi identificado na década de 80 e desde então diversos tipos do malware foram encontrados.  

Sua principal função é bloquear ou roubar os dados de um dispositivo e, para recuperá-los, uma recompensa (ransom) é solicitada. 

No início as recompensas podiam ser pagas por correspondência, transferência bancária ou cartões de crédito.  

Atualmente, este pagamento é exigido através de criptomoedas, aumentando a dificuldade de rastrear os autores dos ataques. 

Ainda que o pedido de regaste tenha se modernizado, não existe nenhuma garantia que os dados serão devolvidos pelos criminosos.  

O Novo Ransomware  

Antes de acionar o Ransomware, os criminosos agora conseguem fazer o reconhecimento dos dados da vítima, segundo informação do instituto americano National Cyber Security Center (NCSC). 

A instituição revelou que diversas formas de backup online foram criptografadas antes dos ataques, por isso o instituto passou a recomendar às empresas que mantenham seus backups offline

Em suas orientações, o NCSC disse que houve muitos incidentes em que o Ransomware não apenas criptografou os dados originais em disco, como também se conectou através de dispositivos USB e redes de backup de dados. 

Os ataques também envolveram locais de armazenamento em nuvem contendo backups.  

Backups offline ajudam a identificar possíveis ataques através de agentes que reconhecem a ação do Ransomware após o malware ter acessado as informações da vítima. 

A capacidade de pré-reconhecimento do Ransomware permite que ele roube dados, avance ainda mais nas redes das empresas e invada softwares de segurança para encontrar e criptografar as informações. 

O backup deve ser protegido contra a substituição e os backups offline ou externos são a melhor alternativa, recomenda a NCSC

Só nos EUA mais de 100 cidades foram afetadas com Ransomware em 2019, causando inclusive interrupções nos serviços públicos. 

No Reino Unido, os conselhos de Redcar e Cleveland assumiram que um ataque de Ransomware os deixaram sem serviços de TI por três semanas.  

Em declaração ao veículo The Guardian, o órgão informou que o ataque custaria cerca de 18 milhões de libras para o governo britânico. 

Tipos de Ransomware 

Com o passar dos anos, o Ransomware ganhou diferentes versões e algumas bem sofisticadas, seja disfarçada de anti-vírus ou um simples link dentro de um e-mail.  

Mediante a tantas facetas, todo cuidado é pouco. 

A empresa de segurança FireEye diz que o Ransomware deve atingir cada vez mais a infraestrutura e a tecnologia operacional de instalações industriais.  

Veja agora alguns tipos de Ransomware já identificados por especialistas em cibersegurança

Robinwood 

Uma outra variedade do Ransomware, chamada de “Robinwood”, usa alguma vulnerabilidade do hardware para excluir produtos de segurança dos computadores antes de criptografar os arquivos dos usuários, segundo dados da Sophos

O Robinwood explora uma fraqueza do driver para se infiltrar nas configurações da memória de sistemas Windows 10, 8 e 7. Isso significa que ele traz a própria destrutibilidade para atacar os dispositivos.  

Seu objetivo é injetar um segundo driver mal intencionado para concluir o ataque e criptografar os arquivos. Depois disso, desativar a aplicação da assinatura do driver alterando o único byte que vive do espaço kernel. 

Ransomware Robinwood foi identificado apenas em drivers fabricados em Taiwan, que foram descontinuados. A Verisign não renovou o contrato com a fabricante após estes incidentes.  

  • No Windows 7 (ou mais antigo), essa variável é chamada nt! G_CiEnabled (NTOSKRNL.EXE) 
  • No Windows 8 e 10, essa variável é chamada ci! G_CiOptions (CI.DLL) 

Scareware 

Este tipo de Ransomware é composto por softwares de suporte técnico fraudulentos. A forma mais comum de apresentação é um pop-up informando ao usuário que um malware foi identificado e solicitando a instalação (mediante pagamento) de um anti-vírus. 

Bloqueadores de Tela 

Uma vez infectado com este tipo de Ransomware, você fica completamente impossibilitado de mexer em qualquer recurso do seu dispositivo.  

Um grande aviso na tela informa que seu computador foi bloqueado pelo Departamento de Justiça ou FBI. 

Para recuperar o acesso, é exigido o pagamento de uma multa que estaria sendo aplicada por alguma atividade ilegal encontrada nos arquivos do usuário. 

Criptografados 

No mais conhecido dos Ransomwares, o vírus criptografa todos os seus dados e é exigido pagamento para devolvê-los. 

Só que, uma vez nas mãos dos criminosos, nenhum software de restauração ou anti-vírus são capazes de recuperá-los. 

CryptoLocker 

Identificado pela primeira vez em 2014 pela contaminação em larga escala de celulares, exibe uma mensagem que o celular foi bloqueado devido algum tipo de atividade ilegal e exige o pagamento de uma taxa. 

O mais conhecido da “família” do Ransomwares para dispositivos móveis, é transmitido através de aplicações.  

A boa notícia é que este tipo de vírus pode ser retirado com a reinicialização do aparelho, seguida da desinstalação do aplicativo contaminado. 

A importância do treinamento 

Uma pesquisa da IBM Harris Poll mostrou que apenas 38% dos funcionários do governo inglês receberam treinamento geral para Ransomware e ataques cibernéticos.  

O relatório também aponta o crescimento exponencial desse tipo de ataque e destaca a necessidade das empresas se prepararem melhor perante a isso. 

Os dados deste novo estudo sugerem que funcionários reconhecem a ameaça, mas demonstram excesso de confiança em sua capacidade de reagir e gerenciá-la”, comentou o presidente da IBM, Wendi Whitmore. 

A pesquisa elucida a importância de se aplicar treinamentos de cibersegurança em toda a empresa, mesmo nos departamentos que não lidam diretamente com T.I. 

A maior porta de entrada de vírus continua sendo links suspeitos em e-mails. Conscientizar os colaboradores sobre como os ciberataques acontecem e sobre a importância da prevenção, é um dever do Gerenciamento de Crise

Um dado solto, uma informação roubada pode custar milhões a uma empresa.  

No caso do Ransomware, pode haver um pedido de recompensa extremamente alto, na melhor das hipóteses, a empresa paga o valor e tem suas informações recuperadas. 

Entretanto, é sabido que mesmo mediante o pagamento, existe a possibilidade desses dados nunca mais retornarem.  

No mais, os criminosos podem simplesmente vazar as informações, prejudicando além do financeiro, a imagem da empresa. Muitas vezes, este tipo de crise, torna-se irrecuperável.

Comments are closed.