20 de jan de 20174 min
Atualizado: 17 de abr de 2020
Ataques de ransomware continuam a crescer. De acordo com o McAfee Labs, as amostras de ransomware cresceram 169% em 2015 e o total de amostras do malware já somam quase 6 milhões. A técnica não é recente, ela já existe há muito tempo, os primeiros protótipos do malware foram desenvolvidos em meados da década de 1990. No entanto, a modalidade criminosa vem ganhando cada vez mais popularidade devido à impossibilidade de rastrear as moedas virtuais usadas nos pagamentos dos resgates e também pela oferta de pacotes de Ransomware as a Service disponíveis na deep web.
O ransomware usa a criptografia para extorquir as vítimas, os ataques podem causar a perda de acesso à informação, perda de confidencialidade e vazamento de informações. Os ataques podem ser direcionados tanto a consumidores quanto a empresas de todos os portes. É importante entender como funciona a anatomia de um ataque de ransomware para se prevenir com mais eficácia.
Há seis etapas que um ataque percorre para atingir seus objetivos.
Na verdade, os cibercriminosos utilizam métodos de distribuição bastante conhecidos, geralmente o malware é espalhado por meio de esquemas de phishing envolvendo links fraudulentos, anexos de e-mail ou downloads de arquivos que são instalados no endpoint a partir de sites comprometidos. Mesmo conhecida, a técnica ainda é bastante efetiva, um em cada quatro destinatários abre mensagens de phishing e, surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.
O binário chega no computador do usuário e inicia os processos necessários para completar suas atividades maliciosas. Esta etapa pode incluir técnicas mais novas e comportamentos sofisticados. Por exemplo, o malware CryptoWall 3 funciona da seguinte forma: Gera um identificador de computador exclusivo; certifica um “reboot de sobrevivência” instalando um programa seja executado ao ligar a máquina; desativa cópias e sistemas de reparação e recuperação de erro do Windows, desativa programas de defesa; injeta-se no explorer.exe e svchost.exe e recupera o endereço IP externo.
O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados. O CryptoWall 3, por exemplo, se conecta a um site WordPress comprometido e relata seu status. Todo o tráfego de servidor de controle é criptografado usando o algoritmo de criptografia RC4. O quarto passo é a pesquisa de arquivos. O ransomware procura por arquivos no sistema de uma forma sistemática. Ele normalmente busca por arquivos que sejam importantes para o usuário e não podem ser facilmente replicados, como arquivos com extensões de jpg, docx, xlsx, pptx, e pdf.
Veja também: Falhas de UEFI podem ser exploradas para instalar ransomware persistente.
O processo é realizado movendo e renomeando arquivos específicos, as informações são “embaralhadas” e não podem mais serem acessadas sem serem descriptografadas. A última etapa é o pedido de resgate, quando normalmente um aviso aparece na tela do computador infectado exigindo pagamento em bitcoins para então enviar à vítima a chave que poderá desbloquear a máquina.
Conhecer como funciona um ataque de ransomware detalhadamente é essencial para criar estratégias capazes de barrar a atuação do malware antes que ele consiga criptografar a máquina. O método mais proativo de proteger a rede contra ataques é evitar que a ameaça chegue ao endpoint em primeiro lugar. Usar uma solução de segurança que contemple filtro de web, antispam, antimalware e manter atualizado patches do sistema operacional e aplicativos ajuda a bloquear a chegada do malware.
Pare evitar o estágio de infeção é indicado nunca ativar macros, a não ser que você saiba muito bem o que está fazendo. Macros do Office costumam ser usados pelo ransomware no processo de infecção. Também é importante restringir as permissões de acesso dos usuários. Navegar na web, abrir diversos aplicativos e documentos e trabalhar com diversos programas diferentes enquanto conectado com perfil administrativo, por exemplo, aumenta a vulnerabilidade. Também é recomendado usar uma ferramenta de sandbox, que irá analisar melhor os arquivos suspeitos e evitar a contaminação.
Para a fase de comunicação é recomendável utilizar firewalls de rede, que têm recurso padrão para bloquear domínios maliciosos. Outra dica é bloquear o acesso ao Tor, um sistema de comunicação anônima via Internet com base em uma rede distribuída usado para garantir a privacidade na internet. Essa ferramenta é usada pelo ransomware para ofuscar as comunicações do servidor de controle. Em situações em que não é preciso o uso do Tor, recomenda-se bloqueá-lo.
O ataque de ransomware poderá ser parado se ele não puder estabelecer o controle, de modo que bloquear Tor fará com que o ransomware que usa essa estratégia pare nesta fase. Para os que usam appliances de proxy e gateway, essas tecnologias podem ser configuradas para fazer varreduras e bloquear ataques de ransomware. A maioria dos ransomware não pode continuar as operações se não puder recuperar a chave de criptografia pública necessária para a criptografia assimétrica.
E finalmente, mantenha um backup offsite. Após o backup feito, desligue a unidade e a mantenha longe de todos os computadores. Dessa forma o ransomware não consegue detectar o backup e danificá-lo.