A saga do ransomware

Se você segue as notícias relacionadas a segurança da informação, provavelmente já ouviu falar muito sobre ransomware nos últimos anos. Pode até ter tido a infelicidade de receber um ataque. Talvez não seja exagero descrever o ransomware como o malware mais perigoso de nosso tempo.

Mas sabia que esses programas maliciosos existem há mais de 30 anos e que os pesquisadores previram muitos recursos dos ataques modernos em meados da década de 1990? Você quer saber por que os criptógrafos substituíram os bloqueadores, qual foi o maior resgate pago da história e o que a AIDS tem a ver com tudo isso?

Compilamos uma história de ransomware com as respostas para essas e muitas outras perguntas. Vamos rastrear o desenvolvimento de bloqueadores, criptografadores, wipers e outras coisas desagradáveis vindas do ransomware nas últimas décadas.

Dicionário de ransomware

Os termos a seguir aparecem com frequência no texto.

Criptografia — ciência de impedir que estranhos leiam informações confidenciais. A codificação é um aspecto da criptografia.

Criptografia simétrica — método de criptografia de dados em que uma chave é usada para criptografar e descriptografar as informações.

Criptografia assimétrica — método de criptografia de dados que envolve o uso de duas chaves: uma pública para criptografar as informações e uma privada para descriptografá-las. Saber a chave pública não ajuda na descriptografia; que requer a privada.

RSA —algoritmo de criptografia assimétrica comumente usado.

Ransomware —qualquer programa malicioso que força a vítima a pagar um resgate ao atacante. O ransomware inclui blockers, cryptors e wipers disfarçados de cryptors.

Blocker (bloqueador) — tipo de ransomware que bloqueia ou simula o bloqueio de um computador ou dispositivo móvel. Esse malware normalmente mostra uma mensagem persistente com uma solicitação de pagamento no topo de todas as outras janelas.

Cryptomalware (cryptor ou criptografadores) — um tipo de ransomware que criptografa os arquivos do usuário para que não possam ser usados.

Wiper (limpador) — tipo de malware projetado para limpar (apagar) dados do dispositivo da vítima. Às vezes, o ransomware que simula um criptografador acaba sendo um limpador, danificando arquivos de forma irreparável; então, mesmo que o resgate seja pago, é impossível recuperar os dados.

RaaS (Ransomware-as-a-Service) — esquema criminoso em que os criadores alugam ransomware para qualquer pessoa que queira distribuí-lo por uma parte dos lucros. É uma espécie de franquia do cibercrime.

1989: O primeiro ataque de ransomware

Joseph L. Popp, biólogo pesquisador, criou o primeiro cryptor conhecido. Popp tirou proveito do amplo interesse pela AIDS; portanto, seu malware ficou conhecido como o Trojan AIDS.

Naquela época, a Internet ainda estava em sua infância, então Popp usou um método de entrega altamente original (para os padrões modernos). Tendo em mãos listas de mala direta de assinantes da conferência da OMS sobre AIDS e da revista PC Business World, enviou às vítimas um disquete com um adesivo dizendo “Disquete introdutório de informações sobre AIDS” junto com instruções detalhadas para a instalação do programa. O contrato de licença dizia que, ao instalar o programa, o usuário concordou em pagar à empresa U$ 378. Mas quem leva essas coisas a sério?

Na verdade, o instalador serviu para entregar o malware ao disco rígido. Depois de um certo número de inicializações do sistema, o Trojan AIDS tornou-se ativo, criptografando nomes de arquivos (incluindo extensões) na unidade C: do computador infectado. Os nomes se transformaram em uma confusão de caracteres aleatórios, tornando impossível trabalhar normalmente com os arquivos. Por exemplo, para abrir ou executar um arquivo, primeiro era necessário descobrir qual extensão ele deveria ter e alterá-la manualmente.

Ao mesmo tempo, o malware exibia uma mensagem na tela, dizendo que o teste do software havia acabado e o usuário deveria pagar uma taxa de assinatura: U$ 189 por um ano ou U$ 378 pelo acesso vitalício. O dinheiro seria transferido para uma conta no Panamá.

O malware usava criptografia simétrica, portanto, a chave para recuperar os arquivos estava contida diretamente no código. Logo, o problema era relativamente fácil de resolver: encontrar a chave, excluir o malware e usar a chave para recuperar os nomes dos arquivos. Em janeiro de 1990, o consultor editorial do Virus Bulletin , Jim Bates, criou os programas AIDSOUT e CLEARAID para fazer exatamente isso.

Joseph Popp foi preso, mas o tribunal o considerou mentalmente incapaz de ser julgado. No entanto, ele publicou o livro Evolução popular: Lições de vida da antropologia uma década depois.

1995–2004: Young, Yung e o ransomware do futuro

Talvez porque o Trojan AIDS não tenha enriquecido seu criador, a ideia de criptografar dados para fins de resgate não gerou muito entusiasmo entre os golpistas da época. O interesse voltou apenas em 1995 e na comunidade científica.

Os criptógrafos Adam Young e Moti Yung se empenharam a aprender como seria o vírus de computador mais poderoso. Eles criaram o conceito de ransomware que usa criptografia assimétrica.

Em vez de usar uma chave, que teria de ser adicionada ao código do programa, para criptografar os arquivos, seu modelo usava duas, pública e privada, que mantinham a chave de descriptografia em segredo. Além disso, Young e Yung levantaram a hipótese de que a vítima teria que pagar com dinheiro eletrônico, que ainda não existia.

Os profetas da cibersegurança apresentaram seus pensamentos na conferência IEEE Security and Privacy em 1996, mas não foram bem recebidos. Então, 2004 veio ao mundo a publicação de Criptografia Maliciosa: Expondo Criptovirologia , em que Young e Yung sistematizaram os resultados de suas pesquisas.

2007–2010: Os anos dourados dos bloqueadores

Enquanto o criptomalware estava ganhando tempo, o mundo viu o surgimento de outro tipo de ransomware: bloqueadores. Esse tipo bastante primitivo de malware interferia no funcionamento normal do sistema operacional, adicionando-se à rotina de inicialização do Windows. Além disso, para impedir a exclusão, muitos tipos bloquearam o editor de registro e o gerenciador de tarefas.

Esse tipo de malware usava diversas maneiras de impedir que as vítimas usassem seus computadores, desde uma janela que não fechava até uma mudança no papel de parede da área de trabalho. Um método de pagamento era por mensagem de texto para um número premium.

A neutralização de bloqueadores de ransomware geralmente não requer um programa antivírus, mas sim um bom conhecimento por parte do usuário. Para remover o malware manualmente, era necessário, por exemplo, inicializar o sistema a partir de um Live ou CD de recuperação, iniciar no modo de segurança ou fazer login no Windows com um perfil diferente.

No entanto, a facilidade de escrever esses cavalos de Tróia compensa o risco relativamente baixo. Praticamente qualquer pessoa poderia distribuí-los. Havia até geradores automáticos.

Às vezes, o malware colocava um banner pornográfico na área de trabalho e alegava que a vítima tinha visto conteúdo proibido (tática usada ainda hoje). Com o pedido de resgate administrável, muitos preferiram não procurar ajuda, mas simplesmente pagar.

2010: Cryptomalware com criptografia assimétrica

Em 2011, os desenvolvedores de criptomalware melhoraram seus esquemas consideravelmente e, como Yung e Young previram, começaram a usar criptografia assimétrica. Uma modificação do criptografador GpCode, por exemplo, foi baseada no algoritmo RSA.

2013: Ransomware híbrido CryptoLocker

O final de 2013 ficou marcado com o aparecimento de um ransomware híbrido combinando um bloqueador com criptomalware. O conceito aumentou as chances dos cibercriminosos de receberem o pagamento, porque mesmo a remoção do malware e, portanto, a remoção do bloqueio, não restaura o acesso das vítimas aos seus arquivos. Talvez o mais famoso desses híbridos seja o CryptoLocker. Esse malware foi distribuído em e-mails de spam e os cibercriminosos por trás dele aceitaram o pagamento de resgate em Bitcoin.

2015: Criptografadores substituem bloqueadores

Em 2015, a Kaspersky observou um número crescente de tentativas de infecção de criptomalware, com o número de ataques crescendo a um fator de 5,5. Os criptografadores começaram a substituir os bloqueadores.

Os criptografadores prevaleceram por vários motivos. Primeiro, os dados do usuário são significativamente mais valiosos do que os arquivos e aplicativos do sistema, que sempre podem ser reinstalados. Com a criptografia, os cibercriminosos poderiam exigir resgates significativamente mais elevados – e teriam uma chance maior de serem pagos.

Em segundo lugar, em 2015, as criptomoedas já eram amplamente utilizadas para transferências anônimas de dinheiro, de modo que os invasores não tinham mais medo de serem rastreados. Bitcoin e outras criptomoedas tornaram possível receber grandes resgates sem aparecer no radar.

2016: Ransomware em massa

O ransomware continuou a crescer como uma erva daninha na cibersegurança e 2016 viu um aumento de onze vezes no número de modificações, com o resgate médio variando de 0,5 a centenas de bitcoins (que valiam uma fração do preço de hoje). O foco principal dos ataques mudou do usuário individual para o setor corporativo, levando justificadamente a falar sobre o surgimento de uma nova indústria do crime.

Os cibercriminosos não precisavam mais desenvolver malware por conta própria; eles poderiam simplesmente comprá-lo na prateleira. Por exemplo, uma “licença vitalícia” para o ransomware Stampado foi colocada à venda. O malware ameaça excluir arquivos aleatórios após um certo período de tempo para assustar as vítimas e fazê-las pagar o resgate.

O ransomware também se tornou disponível no modelo RaaS (Ransomware-as-a-Service), um termo que surgiu com o aparecimento do Encryptor RaaS. O modelo ajudou-o a se espalhar ainda mais amplamente.

Os criminosos começaram a visar organizações governamentais e municipais, além de empresas e usuários domésticos. O HDDCryptor, que infectou mais de 2.000 computadores da Agência Municipal de Transporte de São Francisco, serve como um excelente exemplo. Os cibercriminosos exigiram 100 BTC (então cerca de U$ 70 mil) para restaurar os sistemas, mas o departamento de TI da agência conseguiu resolver o problema sozinho.

2016–2017: Petya, NotPetya e WannaCry

Em abril de 2016, um novo malware chamado Petya apareceu. Enquanto os criptografadores anteriores haviam deixado os sistemas operacionais intactos para permitir que as vítimas pagassem o resgate, o Petya bloqueia completamente as máquinas infectadas; tem como alvo o MFT (Master File Table) – um banco de dados que armazena toda a estrutura de arquivos e pastas no disco rígido.

Por mais destrutivo que fosse, o mecanismo de penetração e distribuição de Petya era difícil. Para ativá-lo, a vítima precisava baixar e executar manualmente um arquivo executável, o que tornava a infecção menos provável. Na verdade, ele poderia não ter feito muita diferença se não fosse por outro ransomware – o apropriadamente denominado WannaCry.

Em maio de 2017, o WannaCry infectou mais de 500 mil dispositivos em todo o mundo, causando U$ 4 bilhões em danos. Como? Bom, incorporando o exploit EternalBlue, que aproveitou algumas vulnerabilidades muito perigosas do Windows. O Trojan se infiltrou nas redes e instalou o WannaCry nos computadores das vítimas. O malware então continuou, se espalhando para outros dispositivos na rede local. Dentro dos sistemas infectados, o WannaCry se comportava normalmente, criptografando arquivos e exigindo resgate.

Menos de dois meses após o surto de WannaCry, outro criptografador apareceu, também modificado para EternalBlue: NotPetya, também conhecido como ExPetr. O NotPetya devorou discos rígidos inteiros.

Além disso, NotPetya criptografou a tabela de arquivos de forma a excluir a descriptografia mesmo após o pagamento do resgate. Como resultado, os especialistas concluíram que era na verdade um limpador disfarçado de criptografador. O dano total ultrapassou U$ 10 bilhões.

O ataque WannaCry foi tão devastador que a Microsoft lançou um patch urgente para sistemas operacionais que nem tinham mais suporte. As atualizações para os sistemas suportados já estavam disponíveis muito antes de ambas as epidemias, mas nem todos os instalaram, permitindo que esses dois ransomware permanecessem por um longo tempo.

2017: Um milhão de dólares para descriptografar

Além dos prejuízos sem precedentes, outro recorde foi estabelecido em 2017, para o maior resgate conhecido de uma única organização. O provedor sul-coreano Nayana concordou em pagar U$ 1 milhão (20% do valor original) para desbloquear computadores infectados com o Erebus.

O que mais surpreendeu a comunidade de especialistas foi que a empresa anunciou publicamente o pagamento. A maioria das vítimas prefere não falar.

2018–2019: uma ameaça à sociedade

Os últimos anos são notáveis por ataques maciços de ransomware a utilitários e instalações da comunidade. Transporte, água, energia e instituições de saúde se encontravam cada vez mais em risco. Os cibercriminosos esperavam que eles pagassem também; mesmo com pedidos de resgate muito grandes, apagões de energia significariam deixar milhares ou milhões de pessoas em apuros.

Em 2018, por exemplo, um ataque de criptomalware no Aeroporto de Bristol, no Reino Unido, interrompeu as telas de exibição de voos por dois dias. A equipe recorreu ao uso de quadros brancos e, para crédito do aeroporto, sua resposta ao ataque foi rápida e eficaz. Pelo que sabemos, nenhum voo foi cancelado e nenhum resgate foi pago.

A Hancock Health, uma clínica americana, não se saiu tão bem assim, pagando 4 BTC (aproximadamente U$ 55 mil, na época) depois que o ransomware SamSam atingiu seus sistemas. Explicando a decisão da empresa de pagar o resgate, o CEO Steve Long citou uma tempestade de neve que se aproximava, juntamente com uma das piores temporadas de gripe. A clínica simplesmente não tinha tempo para restaurar seus computadores de forma independente.

Ao todo, mais de 170 agências municipais nos Estados Unidos foram vítimas de ransomware em 2019, com pedidos de resgate chegando a U$ 5 milhões. Atualizar os sistemas operacionais nessas organizações pode ser difícil, portanto, os cibercriminosos costumam usar vulnerabilidades antigas – e, portanto, mais acessíveis.

2020: Escala crescente e extorsão por meio de ameaças de vazamento de dados

Além da crescente escala de infecção, bem como das consequências e montantes de resgate, 2020 foi marcado por uma nova abordagem híbrida que viu o ransomware, antes de criptografar os dados, enviá-los aos operadores cibercriminosos. Seguidas por ameaças de vazamento de informações para concorrentes ou publicação. Dada a hipersensibilidade em relação aos dados pessoais hoje em dia, isso pode ser fatal para uma empresa. A tática foi dominada pela primeira vez pelo grupo Maze em 2019, mas em 2020 tornou-se uma tendência genuína.

A rede de cirurgia estética Transform Hospital Group foi vítima de um dos incidentes mais importantes de 2020. O grupo de hackers REvil criptografou e roubou 900GB de dados da Transform, incluindo fotos pré e pós-operação de pacientes, que os atacantes ameaçaram publicar.

Além disso, os criminosos por trás de criptomalware adotaram uma série de novas táticas em 2020. Por exemplo, o grupo REvil começou a leiloar informações roubadas. Os cibercriminosos também se uniram em organizações do tipo cartel. O primeiro foi o grupo Maze, que começou a postar informações roubadas pelo criptografador LockBit. De acordo com os cibercriminosos, agora estão trabalhando em estreita colaboração com a LockBit, fornecendo sua plataforma para vazamento de dados e compartilhando seu conhecimento.

Eles também se gabaram de que outro grupo notável logo se juntaria ao cartel: RagnarLocker, um pioneiro na organização de ataques DDoS aos recursos das vítimas como um holofote adicional sobre as empresas que extorquiam.

Conclusão

Em um período de três décadas, o ransomware evoluiu de um brinquedo relativamente inofensivo para uma séria ameaça aos usuários de todas as plataformas e, especialmente, às empresas. Para se proteger contra ataques, certifique-se de observar algumas regras de segurança – e se de alguma forma, uma invasão for bem-sucedida, é importante buscar ajuda de especialistas e não simplesmente obedecer às ordens dos cibercriminosos.