O aumento do ransomware – exemplos mais notáveis

O ransomware é tema de pesadelos: você abre seu laptop de manhã e percebe que todos os seus documentos e fotos foram criptografados, ou que programas que não são de ransomware impedem que seu computador reinicie. Você lê uma mensagem em inglês mal escrito na tela, exigindo o pagamento de um resgate para ter seus arquivos ou seu computador desbloqueados. Nos últimos dois anos, a prática de ransomware cresceu muito pelo fato de cada vez mais usuários escolherem métodos de armazenamento digital, no lugar de físico, para manter documentos importantes, fotos e outras informações. Temos aqui uma visão do histórico do código de resgate, como ele afetou os usuários no último ano e o que esperar dele no futuro.

Conceitos básicos

O ransomware é um tipo de malware criado para sequestrar computadores e forçar as vítimas a pagar resgates para terem seus arquivos descriptografados. Para infectar o computador, os hackers induzem você a fazer download de um anexo de e-mail malicioso ou acessar um site que carrega códigos e criptografa seus arquivos mais importantes ou nega seu acesso ao computador. Existem duas formas de malware mais populares atualmente:

• Ransomware de bloqueio. Este tipo de malware impede que os usuários realizem funções básicas no computador. Por exemplo, seu acesso à área de trabalho pode ser negado, enquanto as funções do mouse e do teclado são parcialmente desabilitadas. Você ainda consegue interagir com a exigência de pagamento do resgate, mas, para outras funções, o computador se torna praticamente inútil. E qual é a boa notícia? O malware de bloqueio geralmente evita a criptografia de arquivos importantes em prol do simples bloqueio, o que quer dizer que a chance de destruição total dos dados é muito menor.
• Ransomware de criptografia. O objetivo do ransomware de criptografia é criptografar dados importantes, como documentos, fotos ou vídeos, mantendo intocadas as funções mais básicas do computador. Isso gera uma sensação de pânico, pois você vê os arquivos, mas não consegue acessá-los. Os autores da criptografia geralmente incluem uma contagem regressiva na exigência do resgate: se você não pagar até o final do prazo, todos os arquivos serão excluídos. Com a quantidade de usuários alheios à necessidade de fazer backups na nuvem ou em dispositivos de armazenamento físico, o ransomware de criptografia pode ser devastador e levar as vítimas a pagar o resgate na esperança de ter seus bens digitais de volta.

O primeiro malware de resgate moderno surgiu em 2005 com o Trojan.Gpcoder. Em 2015, mais de 58% dos computadores corporativos foram atacados por malware, e os ataques de cryptolocker dobraram, segundo a Kaspersky Lab. O ransomware de bloqueio compõe aproximadamente 20% do ransomware. Segundo a Softpedia, o número de ataques a empresas que envolvem pedidos de resgate dobrou em 2015, mesmo com autoridades legais perseguindo os autores e servidores de códigos de resgate. Tipos de ransomware mais populares em 2015

Em 2015, houve um salto no número de novos tipos de malware de resgate:

• Ameaças ao servidor Linux. Conforme observado pela CSO, diversas empresas de segurança da Web descobriram malwares no Linux destinados a impedir que os administradores da Web acessassem servidores Linux e outras funções de suporte a sites necessárias. Embora houvesse uma solução alternativa previsível, com uma chave de criptografia, surgiram novas variantes do malware, que não respondiam à ferramenta de descriptografia. Os hackers pediam um bitcoin para liberar os arquivos críticos.
• Cryptowall 4.0. Uma nova versão do popular CryptoLocker do Windows está sendo distribuída por meio do kit Nuclear Exploit, segundo o Threatpost. A maior alteração na versão 4.0 é que agora ela criptografa os nomes de arquivos junto com os dados, na tentativa de ofuscar ainda mais seus processos e dificultar a recuperação de informações pelas vítimas sem efetuar o pagamento.
• TeslaCrypt. Este concorrente do Cryptowall também lançou uma nova versão em 2015. As empresas de segurança rastrearam uma enorme campanha de spam que entregava esse malware em anexos de e-mail infectados, alegando ser faturas vencidas.
• Locker. Popular na metade de 2015, o ransomware Locker permaneceu inativo até 25 de maio, quando foi ativado, bloqueando arquivos e exigindo um resgate de 0,1 bitcoin, que aumentou para 1 bitcoin após 72 horas. Por estranho que pareça, menos de uma semana depois, o criador do malware "Poka BrightMinds" fez uma apologia ao Pastebin e descriptografou todos os computadores infectados. Os bitcoins pagos não foram devolvidos.
• Malware no Android. O malware de resgate em dispositivos móveis ainda não alcançou os mesmos volumes que seus similares baseados em computadores, mas em 2015 houve um aumento significativo no código de resgate em dispositivos Android. Uma variante do malware no Android negava aos usuários o acesso a seus dispositivos e alegava que eles estavam visualizando ilegalmente conteúdo para adultos. O preço da liberdade? US$ 500 em um voucher MoneyPak.

As vítimas geralmente se perguntam se é melhor pagar o resgate para terem os dados de volta, e algumas pessoas concordam. No Cyber Security Summit de 2015, o agente-assistente especial Joseph Bonavolonta, do FBI, recomendou que as empresas infectadas por malware pagassem os resgates. Contudo, de acordo com a Kaspersky Lab, essa não é uma boa ideia. Primeiro, porque não há garantia de que os criminosos virtuais cumprirão com a palavra, descriptografando seus dados. Segundo, porque, quanto mais dinheiro eles conseguirem, maior a probabilidade de tentarem novamente. Por fim, tanto as empresas de segurança como as autoridades legais trabalham para encontrar e publicar chaves de descriptografia válidas, por isso vale a pena procurar possíveis soluções na Internet antes de fazer qualquer pagamento.

O futuro da extorsão digital

Este certamente não será o último ano do ransomware, então o que o futuro guarda para a extorsão digital? Segundo o MakeUseOf, existem alguns cenários prováveis. O malware de resgate baseado em veículos é uma opção, já que os pesquisadores demonstraram que é possível sequestrar e controlar totalmente um veículo em movimento. Tecnologias domésticas inteligentes, como câmeras de segurança, travas de portas e termostatos, também são um caminho possível, pois esses dispositivos exigem Wi-Fi e muitos são pouco protegidos contra ataques de força bruta. Também existe o risco de ransomware voltado à área da saúde, que tem como alvos dispositivos como marca-passos, implantes ou monitores de saúde. A próspera Internet das Coisas (IoT) oferece inúmeras possibilidades de conectividade e é pobre em padrões de segurança.

O malware de resgate chegou para ficar. Seu formato e seus alvos podem mudar, mas o método já é consagrado. Se você foi infectado, não entre em pânico: procure ajuda on-line, não pague o resgate e, daqui em diante, considere o uso de proteção em tempo real para detectar e colocar em quarentena as ameaças de resgate antes que elas o bloqueiem.

Outras leituras e links úteis relacionados a ransomware

• Ransomware e chantagem virtual
• Definição e riscos de ransomware
• O que é o ransomware WannaCry?
• O que é uma janela pop-up de “ransomware detectado”?