O que é Ransomware – 15 passos fáceis para proteger seu sistema [Atualizado em 2020]

Views: 150
0 0
Read Time:35 Minute, 29 Second

Você sabia o que o ransomware pode fazer além de criptografar seus dados?

12 de maioth 2017 viu o maior ataque cibernético de todos os tempos na história da Internet (sim, maior que o Dyn DDoS). Um ransomware chamado WannaCry invadiu a web, com o epicentro de danos sendo na Europa.

O WannaCry aproveitou uma vulnerabilidade no Sistema Operacional Windows, descoberto pela NSA e, em seguida, revelado publicamente ao mundo pelos Shadow Brokers. Nas primeiras horas, 200.000 máquinas foram infectadas. Grandes organizações como a Renault ou o NHS foram atingidas e aleijadas pelo ataque. Mas essa onda maciça não foi a única. Algumas semanas depois, uma variedade de ransomware semelhante a Petya começou a se espalhar pela Europa, afetando empresas, instituições e bancos ucranianos, e até mesmo o sistema de monitoramento de radiação em Chernobyl. O ransomware tem sido uma tendência crescente nos últimos dois anos, e isso é apenas uma culminação, uma grande revelação para o mundo mais amplo de quão grande é uma ameaça. Mas estamos escrevendo sobre isso há algum tempo. Há algum tempo, um entregador entrou no nosso escritório. Enquanto assinamos para o pacote, ele percebeu que trabalhamos em segurança cibernética e perguntou: Toda a minha coleção de música dos últimos 11 anos foi criptografada por ransomware.

Há alguma coisa que eu possa fazer sobre isso? Estão pedindo $500 pela chave de decodificação.

Meu primeiro pensamento foi: espero que ele tenha um backup de dados. Então eu tive que perguntar: Você tem um backup?

Ele olhou para baixo e disse um amargo “não”.

Este cenário está se desenrolando agora em algum lugar do mundo. Talvez até na sua cidade ou bairro. Neste exato momento, alguém está clicando em um link em um e-mail de spam ou ativando macros em um documento malicioso sem ter um software de segurança adequado no local. Em alguns segundos, todos os seus dados serão criptografados e eles terão apenas alguns dias para pagar centenas de dólares para recuperá-los. A menos que eles tenham um backup, o que a maioria das pessoas nãotem. Os criadores de ransomware e outros criminosos cibernéticos envolvidos na economia de malware estão sem remorso. Eles automatizaram seus ataques a ponto de atingir qualquer um e todos. Veja esta história do New York Times:

Minha mãe recebeu o bilhete de resgate na terça-feira antes do Dia de Ação de Graças. Apareceu na tela do computador dela logo depois que ela descobriu que todos os arquivos dela tinham sido bloqueados. “Seus arquivos estão criptografados”, anunciou. “Para obter a chave para descriptografar arquivos você tem que pagar 500 USD.” Se minha mãe não pagasse em uma semana, o preço subiria para $1.000. Depois disso, sua chave de descriptografia seria destruída e qualquer chance de acessar os 5.726 arquivos em seu PC – todos os seus dados – seria perdida para sempre. Sinceramente, CryptoWall.

Espero que esteja lendo este post para estar preparado para um ataque de malware. A prevenção é absolutamente a melhor estratégia de segurança neste caso. Este guia está repleto de informações concretas sobre:

Mas não há razão para você se sentir indefeso. Existem muitas disposições práticas que você pode tomar para bloquear ou limitar o impacto de ataques cibernéticos em seus dados. E eu estou prestes a te mostrar o que fazer.

O que é ransomware?

Ransomware é um malware sofisticado que bloqueia o acesso da vítima aos seus arquivos, e a única maneira de recuperar o acesso aos arquivos é pagar um resgate.

Existem dois tipos de ransomware em circulação:

  1. Criptografando ransomware, que incorpora algoritmos avançados de criptografia. Ele foi projetado para bloquear arquivos do sistema e exigir pagamento para fornecer à vítima a chave que pode descriptografar o conteúdo bloqueado. Exemplos incluem CryptoLocker, Locky, CrytpoWall e muito mais.
  2. O locker ransomware, que bloqueia a vítima para fora do sistema operacional,impossibilitando o acesso à área de trabalho e a quaisquer aplicativos ou arquivos. Os arquivos não são criptografados neste caso, mas os atacantes ainda pedem um resgate para desbloquear o computador infectado. Exemplos incluem o ransomware com tema policial ou Winlocker.

Algumas versões de locker podem até infectar o Master Boot Record (MBR). O MBR é a seção do disco rígido de um PC que permite que o sistema operacional seja inicializado. Quando o ransomware MBR ataca, o processo de inicialização não pode ser concluído como de costume e solicita que uma nota de resgate seja exibida na tela. Exemplos incluem as famílias Satana Petya. O crypto-ransomware, como os criptografadores são geralmente conhecidos, é o mais difundido, e também o assunto deste artigo. A comunidade de segurança cibernética concorda que esta é a ameaça cibernética mais proeminente e preocupante do momento (e tem sido assim nos últimos anos).

O Ransomware tem algumas características-chave que o diferenciam de outros malwares:

  • Ele possui criptografia inquebrável, o que significa que você não pode descriptografar os arquivos por conta própria (existem várias ferramentas de descriptografia lançadas por pesquisadores de segurança cibernética – mais sobre isso mais tarde);
  • Ele tem a capacidade de criptografar todos os tipos de arquivos, de documentos a fotos, vídeos, arquivos de áudio e outras coisas que você pode ter no seu PC;
  • Ele pode embaralhar seus nomes de arquivo,então você não pode saber quais dados foram afetados. Este é um dos truques de engenharia social usados para confundir e coagir as vítimas a pagar o resgate;
  • Ele adicionará uma extensão diferente aos seus arquivos, para às vezes sinalizar um tipo específico de tensão de ransomware;
  • Ele exibirá uma imagem ou uma mensagem que permite que você saiba que seus dados foram criptografados e que você tem que pagar uma quantia específica de dinheiro para recuperá-lo;
  • Ele solicita pagamento em Bitcoins porque essa criptomoeda não pode ser rastreada por pesquisadores de segurança cibernética ou agências de aplicação da lei;
  • Normalmente, os pagamentos de resgate têm um limite de tempo, para adicionar outro nível de restrição psicológica a este esquema de extorsão. Ultrapassar o prazo normalmente significa que o resgate aumentará, mas também pode significar que os dados serão destruídos e perdidos para sempre.
  • Ele usa um conjunto complexo de técnicas de evasão para passar despercebido pelo antivírus tradicional (mais sobre isso na seção “Por que o ransomware muitas vezes passa despercebido por antivírus”);
  • Muitas vezes recruta os PCs infectados em botnets,para que os criminosos cibernéticos possam expandir sua infraestrutura e alimentar ataques futuros;
  • Pode se espalhar para outros PCs conectados a uma rede local,gerando mais danos;
  • Ele frequentemente possui recursos de exfiltração de dados,o que significa que também pode extrair dados do computador afetado (nomes de usuário, senhas, endereços de e-mail, etc.) e enviá-los para um servidor controlado por criminosos cibernéticos; criptografar arquivos nem sempre é o fim do jogo.
  • Às vezes inclui direcionamento geográfico,o que significa que a nota de resgate é traduzida para a linguagem da vítima, para aumentar as chances de o resgate ser pago.

Sua lista de recursos continua crescendo a cada dia, com cada novo alerta de segurança transmitido por nossa equipe ou outros pesquisadores de malware.Eu não tinha ideia de que #ransomware pode fazer tantas coisas além de criptografar dados!

À medida que famílias e variantes se multiplicam, você precisa entender que você precisa pelo menos de proteção de linha de base para evitar a perda de dados e outros problemas. Criptografar ransomware é uma ameaça cibernética complexa e avançada que usa todos os truques disponíveis porque torna os criminosos cibernéticos uma enorme quantidade de dinheiro. Estamos falando de milhões! Se você está curioso como tudo começou, é hora de passar por cima:

Um rápido histórico de ransomware

Pode ser difícil imaginar, mas o primeiro ransomware da história surgiu em 1989 (isso foi há 28 anos). Era chamado de Trojan da AIDS,cujo modus operandi parece bruto hoje em dia. Espalhou-se através de disquetes e envolveu o envio de US$ 189 para uma caixa postal no Panamá para pagar o resgate. Como os tempos mudaram! O aparecimento do Bitcoin e a evolução dos algoritmos de criptografia ajudaram a transformar o ransomware de uma pequena ameaça usada no vandalismo cibernético, para uma máquina de fazer dinheiro. Como resultado, todo criminoso cibernético quer fazer parte disso. Este gráfico mostra quantos tipos de malware criptografando os pesquisadores descobriram nos últimos 10 anos. Fonte da imagem: F-secure E tenha em mente 3 coisas,para que você possa ter uma noção de quão grande o problema realmente é:

  • Existem inúmeras variantes de cada tipo (por exemplo, CrytpoWall está em sua 4ª versão);
  • Ninguém pode mapear todas as famílias existentes lá fora, já que a maioria dos ataques não são relatados.
  • Novos ransomwares estão saindo em volumes em um ritmo cada vez maior.
ransomware spread

Fonte Aqui está uma ótima fonte se você estiver curioso para saber mais sobre a história desta ameaça de malware. Como você pode ver por si mesmo, as coisas se intensificaram rapidamente e a tendência continua a crescer. Os criminosos cibernéticos não são apenas hackers mal-intencionados que querem reconhecimento público e são impulsionados por sua busca por danos cibernéticos. Eles são orientados para os negócios e buscam lucrar com seus esforços. Ransomware está aqui para ficar. As condições atuais são uma tempestade perfeita, o que a torna a fonte de dinheiro mais fácil e viável para qualquer hacker mal-intencionado lá fora:

  • Ransomware-as-a-service, onde os criadores de malware vendem seus serviços em troca de um corte nos lucros.
  • Métodos de pagamento anônimos,como o Bitcoin, que permitem que cibercriminosos obtenham dinheiro de resgate sabendo que sua identidade não pode ser facilmente revelada.
  • É impossível fazer um programa de software completamente seguro. Cada programa tem suas fraquezas, e estes podem ser explorados para fornecer ransomware, como foi o caso do WannaCry.
  • O número de infecções diminuiria drasticamente se todos os usuários estivessem vigilantes. Mas a maioria das pessoas não são, e acabam clicando em links infectados e outras fontes maliciosas.

Principais alvos para criadores e distribuidores de ransomware

Os cibercriminosos logo perceberam que as empresas e organizações eram muito mais rentáveis do que os usuários, por isso foram atrás dos alvos maiores: departamentos de polícia, conselhos municipais e até escolas e, pior, hospitais! Para lhe dar alguma perspectiva, quase 70% das empresas infectadas optaram por pagar o resgate e recuperar seus arquivos. Mais da metade dessas empresas teve que pagar um resgate no valor de US $ 10.000 a US $ 40.000 dólares para recuperar seus dados. Mas, por enquanto, vamos descobrir como os criminosos online visam vários tipos de usuários da Internet. Isso pode ajudá-lo a entender melhor por que as coisas acontecem como elas fazem agora.

Por que criadores e distribuidores de ransomware têm como alvo usuários domésticos:

  • Porque eles não têm backups de dados ;
  • Porque eles têm pouca ou nenhuma educação em segurança cibernética, o que significa que eles vão clicar em quase tudo;
  • Porque a mesma falta de conscientização sobre segurança online os torna propensos à manipulação por invasores cibernéticos;
  • Porque eles não têm até proteção cibernética básica;
  • Porque eles não mantêm seu software atualizado (mesmo que os especialistas sempre os incomodam a );
  • Porque eles não investem em soluções de segurança cibernética precisas;
  • Porque muitas vezes eles dependem da sorte para mantê-los seguros on-line (não posso dizer quantas vezes ouvi “isso não pode acontecer comigo”);
  • Porque a maioria dos usuários domésticos ainda depende exclusivamente do antivírus para protegê-los de todas as ameaças, o que é frequentemente ineficaz na identificação e parada de ransomware;
  • Devido ao grande volume de usuários da Internet que podem se tornar potenciais vítimas (PCs mais infectados = mais dinheiro).

Por que criadores e distribuidores de ransomware têm como alvo empresas:

  • Porque é aí que está o dinheiro;
  • Porque os atacantes sabem que uma infecção bem sucedida pode causar grandes interrupções nos negócios, o que aumentará suas chances de ser pago;
  • Porque os sistemas de computador em empresas são muitas vezes complexos e propensos a vulnerabilidades que podem ser exploradas por meios técnicos;
  • Porque o fator humano ainda é um enorme passivo que também pode ser explorado, mas através de táticas de engenharia social;
  • Porque o ransomware pode afetar não apenas computadores, mas também servidores e sistemas de compartilhamento de arquivos baseados em nuvem, indo fundo no núcleo de uma empresa;
  • Porque os criminosos cibernéticos sabem que os negócios preferem não denunciar uma infecção por medo ou consequências legais e danos à marca.
  • Como as pequenas empresas muitas vezes não estão preparadas para lidar com ataques cibernéticos avançados e têm uma política BYOD relaxada (traga seu próprio dispositivo).
ransomware damage statistics

Leia o resto do infográfico.

Por que criadores e distribuidores de ransomware têm como alvo instituições públicas:

  • Porque instituições públicas, como agências governamentais, gerenciam enormes bancos de dados de informações pessoais e confidenciais que os criminosos cibernéticos podem vender;
  • Porque os cortes orçamentários e a má gestão frequentemente afetam os departamentos de cibersegurança.
  • Como a equipe não é treinada para detectar e evitar ataques cibernéticos (o malware frequentemente usa táticas de engenharia social para explorar a ingenuidade humana e as fraquezas psicológicas);
  • Como as instituições públicas muitas vezes usam software e equipamentos desatualizados, o que significa que seus sistemas de computador estão repletos de falhas de segurança apenas implorando para serem explorados;
  • Porque uma infecção bem sucedida tem um grande impacto na condução de atividades habituais, causando enormes interrupções;
  • Porque atacar com sucesso as instituições públicas alimenta os egos dos criminosos cibernéticos (eles podem querer dinheiro acima de tudo, mas eles não hesitarão em reforçar sua posição na comunidade sobre atacar um alvo de alto perfil).
mobile ransom evolution report

Em termos de plataformas e dispositivos, o ransomware também não discrimina. Temos versões sob medida para computadores pessoais (muitos tipos para contar, mas mais sobre isso na seção “Famílias Notórias”), dispositivos móveis (com Android como principal vítima e um crescimento escalonado) e servidores. Fig. 12: O número de usuários que encontraram ransomware móvel pelo menos uma vez no período de abril de 2014 a março de 2016. Fonte. Quando se trata de servidores, o ataque é completamente cruel:

Alguns grupos fazem isso infiltrando-se no servidor alvo e corrigindo o software para que os dados armazenados esteja em um formato criptografado onde apenas os cibercriminosos têm a chave para descriptografar os dados. A premissa deste ataque é criptografar silenciosamente todos os dados mantidos em um servidor crítico, juntamente com todos os backups dos dados. Esse processo pode levar algum tempo, dependendo da organização, por isso requer paciência para que os cibercriminosos o realizem com sucesso. Uma vez que um número adequado de backups são criptografados, os cibercriminosos removem a chave de descriptografia e, em seguida, fazem suas exigências de resgate conhecidas, o que poderia ser na ordem de dezenas de milhares de dólares.

Fonte. Isso levou o FBI e muitas outras instituições e fornecedores de segurança do setor a instar usuários, empresas e outros tomadores de decisão a se prepararem contra essa ameaça e criarem fortes camadas de proteção cibernética. Ataques à infraestrutura crítica (eletricidade, água, etc.) podem ser os próximos, e até mesmo o pensamento disso pode fazer qualquer um estremecer.

Como as ameaças de ransomware se espalham?

Os criminosos cibernéticos simplesmente procuram a maneira mais fácil de infectar um sistema ou rede e usar esse backdoor para espalhar o conteúdo malicioso.

No entanto, estes são os métodos de infecção mais comuns usados por cibercriminosos

  •  Campanhas de e-mail de spam que contêm links ou anexos maliciosos (existem muitas formas que o malware pode usar para disfarçar na web);
  • Explorações de segurança em softwares vulneráveis ;
  • O tráfego da Internet redireciona para sites maliciosos;
  • Sites legítimos que têm código malicioso injetado em suas páginas da Web;
  • Downloads drive-by;
  • Campanhas malvertising;
  • Mensagens SMS (ao mirar dispositivos móveis);
  • Botnets;
  • Auto-propagação (espalhando-se de um computador infectado para outro); O WannaCry, por exemplo, usou um kit de exploração que digitalizou o PC de um usuário, procurando uma certa vulnerabilidade e, em seguida, lançou um ataque de ransomware que o visava.
  • Esquemas de afiliados em ransomware como serviço. Basicamente, o desenvolvedor por trás do ransomware ganha uma parte dos lucros cada vez que um usuário paga o resgate.

Os ataques de cripto-ransomware empregam uma mistura sutil de tecnologia e manipulação psicológica (também conhecida como engenharia social).

small websites spreading angler exploit kit and ransomware

Esses ataques ficam mais refinados a cada dia,à medida que os criminosos cibernéticos aprendem com seus erros e ajustam seu código malicioso para serem mais fortes, mais intrusivos e mais adequados para evitar soluções de segurança cibernética. O ataque do WannaCry é um exemplo perfeito disso, pois usou uma vulnerabilidade do Windows amplamente difundida para infectar um computador sem basicamente nenhuma interação do usuário. É por isso que cada nova variante é um pouco diferente de seu precursor. Os criadores de malware incorporam novas táticas de evasão e embalam seu “produto” com kits de exploração perfurantes, vulnerabilidades de software pré-codificadas para segmentar e muito mais. Por exemplo,veja como os criminosos online encontram sites vulneráveis, injetam código JavaScript malicioso neles e usam esse gatilho para redirecionar vítimas potenciais para sites infectados. O que nos leva à próxima resposta importante em nossa busca comum para entender como seus arquivos acabam criptografados.

Como acontecem as infecções por ransomware?

simple ransomware infection chain

Embora a fase de infecção seja ligeiramente diferente para cada versão do ransomware, os estágios-chave são os seguintes:

  1. Inicialmente, a vítima recebe um e-mail que inclui um link malicioso ou um anexocarregado de malware . Alternativamente, a infecção pode se originar de um site malicioso que fornece uma exploração de segurança para criar um backdoor no PC da vítima usando um software vulnerável do sistema.
  2. Se a vítima clicar no link ou baixar e abrir o anexo,um downloader (carga útil) será colocado no PC afetado.
  3. O downloader usa uma lista de domínios ou servidores de C&C controlados por criminosos cibernéticos para baixar o programa de ransomware no sistema.
  4. O servidor de C&C contatado responde enviando de volta os dados solicitados.
  5. O malware então criptografa todo o conteúdo do disco rígido,arquivos pessoais e informações confidenciais. Tudo, incluindo dados armazenados em contas em nuvem (Google Drive, Dropbox) sincronizados no PC. Ele também pode criptografar dados em outros computadores conectados à rede local.
  6. Um aviso aparece na tela com instruções sobre como pagar pela chave de descriptografia.

Tudo acontece em apenas alguns segundos, então as vítimas ficam completamente pasmas enquanto olham para a nota de resgate em descrença. A maioria se sente traída porque não consegue entender uma coisa:

Mas eu tenho antivírus! Por que não me protegeu disso?

Por que o ransomware muitas vezes passa despercebido pelo antivírus

O Ransomware usa várias táticas de evasão que o mantêm escondido e permitem:

  • Não ser pego por produtos antivírus
  • Não ser descoberto por pesquisadores de segurança cibernética
  • Não seja observado pelas agências de aplicação da lei e seus próprios pesquisadores de malware.

A lógica é simples: quanto mais tempo uma infecção por malware pode persistir em um PC comprometido, mais dados ele pode extrair e mais danos ele pode causar.

Então, aqui estão apenas algumas das táticas que o malware de criptografia emprega para permanecer encoberto e manter o anonimato de seus fabricantes e distribuidores:

  1. A comunicação com servidores de Comando e Controle é criptografada e difícil de detectar no tráfego de rede;
  2. Possui anonimizadores de tráfego incorporados, como TOR e Bitcoin,para evitar o rastreamento pelas agências policiais e receber pagamentos de resgate;
  3. Ele usa mecanismos anti-sandboxing para que o antivírus não o pegue;
  4. Ele emprega sombreamento de domínio para ocultar explorações e ocultar a comunicação entre o downloader (carga útil) e os servidores controlados por criminosos cibernéticos.
  5. Possui Fast Flux, outra técnica usada para manter a fonte da infecção anônima;
  6. Ele implanta cargas criptografadas que podem tornar mais difícil para o antivírus ver que eles incluem malware, de modo que a infecção tem mais tempo para se desdobrar;
  7. Ele tem um comportamento polimórfico que lhe dá a capacidade de sofrer mutação suficiente para criar uma nova variante, mas não tanto para alterar a função do malware;
  8. Ele tem a capacidade de permanecer adormecido – o ransomware pode permanecer inativo no sistema até que o computador esteja em seu momento mais vulnerável e aproveite isso para atacar de forma rápida e eficaz.

Se você está interessado em ler mais sobre por que seu antivírus tem problemas para detectar malware avançado, nós realmente criamos um guia sobre esse tópico exato.

As famílias de ransomware mais notórias

Agora você sabe que há muitas versões lá fora. Com nomes como CryptXXX, Troldesh ou Quimera, essas cepas soam como as coisas de que os filmes de hackers são feitos. Então, enquanto os recém-chegados podem querer obter uma parte do dinheiro, um punhado de famílias estabeleceram sua dominação. Se você encontrar alguma semelhança entre este contexto e como a máfia conduz seus negócios, bem, é porque eles se assemelham em alguns aspectos.

WannaCry

wanna cry infection map

Na sexta-feira, 12 de maio de 2017, por volta das 11 horas (horário de Brasília), um ataque de ransomware de “nível sem precedentes” (Europol) começou a espalhar o WannaCry pelo mundo. Ele usou uma vulnerabilidade no Windows que permitiu infectar as vítimas pc’s sem que eles tomem qualquer ação. Até 24 de maio de 2017, a infecção afetou mais de 200.000 vítimas em 150 países e continua se espalhando. Fonte Leia mais no alerta de segurança dedicado sobre a campanha de ransomware .

Ransomware Petya

A família de ransomware Petya foi descoberta pela primeira vez em 2016, e sua marca registrada inclui infectar o Master Boot Record, a fim de executar a carga útil e criptografar os dados disponíveis localmente. Uma cepa semelhante à petya começou a criar estragos no final de junho de 2017, quando surgiu, reforçada com habilidades autorreplicadas. Cobrimos este surto em um alerta de segurança dedicado.

Ransomware Uiwix

Como um desenvolvimento recente, outro tipo de malware criptografado que tenta replicar o impacto que o WannaCry teve. No entanto, ele melhora ao não incluir um domínio killswitch,mantendo suas habilidades auto-replicante. Detalhes atualizados neste alerta de segurança que também antecipa ondas de adição de criptografia maliciosa.

Cerber ransomware

Cerber é um malware de criptografia de versão relativamente antiga, e seu uso tem frequentemente subido e caído. No entanto, atualizações recentes e recursos adicionados trouxeram-no de volta firmemente ao centro do palco. No primeiro trimestre de 2017, a Cerber teve uma enorme participação de mercado de 90% entre todas as famílias de ransomware. Por enquanto, é provável que fique no topo da cadeia alimentar.

Locky

Fonte de imagem. Uma das mais novas e ousadas famílias de ransomware até agora é definitivamente locky. Vista pela primeira vez em fevereiro de 2016, essa cepa fez sua entrada com um estrondo extorquindo um hospital em Hollywood por cerca de US $ 17.000. Mas não foram as únicas vítimas. Na verdade, dois dias depois de publicarmos o alerta Locky, recebemos o seguinte comentário de um de nossos leitores:

Fomos atacados na terça-feira por este ransomware. 150 e-mails falsificados para nosso servidor de correio. 149 E-mails foram bloqueados pelo arquivo de spam Barracuda. Um escapou e foi inicializado por um colega de trabalho do departamento de vendas. Em meia hora, nosso arquivo, servidor de aplicativos e mapas compartilhados nos PC’s locais foi criptografado. Depois de localizar o PC onde tudo começou, pegamos aquele da rede e começamos a restaurar tudo a partir do backup. Em uma hora, o servidor de arquivos e o servidor de aplicativos voltaram a funcionar. Exceto por uma pasta local com muitos dados que não estavam no arquivo foi completamente destruída. Conseguimos consertar isso da seguinte forma. Primeiro instalamos o RECUVA, neste PC e tentamos recuperar o mapa perdido. O fato de que o usuário continuou trabalhando nele, tinha como resultado que a maioria dos arquivos não eram recuperáveis porque eram substituídos por cookies e arquivos temporários da internet. (Então, ao notar os arquivos LOCKY … parar de trabalhar). O Windows 7 tem arquivos de sombra. Pena que esses arquivos estão corrompidos por causa do vírus LOCKY… Mas… fomos capazes de recuperar esses arquivos com RECUVA, restaurá-los e iniciar SHADOWEXPLORER e voltar 6 dias para recuperar uma sombracopia da pasta de dados perdidos. No final, recuperamos cerca de 99% dos arquivos perdidos! Mas como alguém disse antes…. nada ajuda a evitá-lo para que backup, backup e backup …

locky ransomware infection

Desde então, Locky tem tido uma distribuição desenfreada em todo o mundo. Aqui está sua distribuição geográfica até abril de 2016. Fonte: Análise Securelist Como você viu, as coisas nunca param de mudar no crime cibernético, então o descendente de Locky, Zepto,fez sua estreia no início de julho de 2016.

TorrentLocker

Esse malware de criptografia de arquivos surgiu no início de 2014 e seus fabricantes muitas vezes tentaram se referir a ele como CryptoLocker, a fim de fazer backup de sua consciência. Desde então, o TorrentLocker dependia quase inteiramente de e-mails de spam para distribuição. Para aumentar a eficácia, tanto os e-mails quanto a nota de resgate foram direcionados geograficamente. Os atacantes notaram que a atenção aos detalhes significava que eles poderiam enganar mais usuários para abrir e-mails e clicar em links maliciosos, para que eles dessem um passo adiante. Eles usavam uma boa gramática em seus textos, o que fazia suas armadilhas parecerem autênticas para as vítimas desavisados. Fonte: Análise Sophos Os criadores do TorrentLocker provaram que estavam olhando atentamente para o que está acontecendo com seu “público” direcionado quando corrigiram uma falha em seu mecanismo de criptografia. Até então, uma ferramenta de descriptografia criada por um pesquisador de malware tinha funcionado. Mas logo eles lançaram uma nova variante que apresentava criptografia mais forte e reduziu as chances de quebrá-la a zero. Suas habilidades para coletar endereços de e-mail do PC infectado também são notáveis. Naturalmente, esses e-mails foram usados em campanhas subsequentes de spam para distribuir ainda mais o TorrentLocker.

CryptoLocker

Fonte de imagem Em junho de 2014,o vice-procurador-geral James Cole,do Departamento de Justiça dos EUA,declarou que uma grande operação conjunta entre agências de advocacia e empresas de segurança empregadas:

técnicas tradicionais de aplicação da lei e medidas técnicas de ponta necessárias para combater esquemas cibernéticos altamente sofisticados visando nossos cidadãos e empresas.

Ele estava falando sobre a Operação Tovar, uma das maiores derrubadas da história da segurança cibernética, da qual a Heimdal Security também participou. A Operação Tovar teve como objetivo derrubar a botnet Gameover ZeuS, que as autoridades também suspeitavam de espalhar malware financeiro e CryptoLocker. Como Brian Krebs mencionou em sua opinião sobre CryptoLocker:

O problema com o CryptoLocker não é tanto na remoção do malware — esse processo parece ser surpreendentemente trivial na maioria dos casos. A verdadeira chatice é que todos os seus arquivos importantes – fotos, documentos, filmes, MP3s – permanecerão embaralhados com criptografia praticamente inquebrável…

ransomware infections with locky

As infecções pelo CryptoLocker atingiram o pico em outubro de 2013, quando infectava cerca de 150.000 computadores por mês! Fonte de imagem Desde então, relatamos avistamentos de CryptoLocker em inúmeras campanhas falsificando serviços postais ou de entrega no norte da Europa.

CryptoWall

cryptowall ransomware

fonte Embora a infraestrutura cryptoLocker possa ter sido temporariamente desligada, isso não significa que os cibercriminosos não encontraram outros métodos e ferramentas para espalhar variantes semelhantes. CryptoWall é uma variante e já chegou à sua terceira versão, CryptoWall 4.0Este número por si só mostra a rapidez com que esse malware está sendo melhorado e usado em ataques online! Em 2015, até o FBI concordou que o ransomware está aqui para ficar. Desta vez, não pararia para computadores domésticos, mas se espalharia para infectar:

Empresas, instituições financeiras, agências governamentais, instituições acadêmicas e outras organizações… resultando na perda de informações confidenciais ou proprietárias.

Até então, essa previsão se tornou realidade e agora entendemos a gravidade e o impacto do fenômeno cripto-ransomware. De forma semelhante ao CryptoLocker, o CryptoWall se espalha por vários vetores de infecção desde então, incluindo kits de exploração de navegador, downloads drive-by eanexos de e-mail maliciosos.

CTB Locker

Fonte de imagem CTB Locker é uma das mais recentes variantes do CryptoLocker, mas em um nível totalmente diferente de sofisticação. Vamos dar uma olhada rápida no nome: o que você acha que a CTB representa?

  • C vem de Curve, que se refere à sua persistente criptografia de curva elíptica que codifica os arquivos afetados com uma chave RSA única;
  • T vem do TOR, porque usa a famosa rede P2P para ocultar a atividade dos cibercriminosos das agências de aplicação da lei;
  • B vem do Bitcoin, o método de pagamento usado pelas vítimas para pagar o resgate, também projetado para ocultar a localização dos atacantes.

O que também é específico para o CTB-locker é que inclui recursos multilíngues,para que os atacantes possam usá-lo para adaptar suas mensagens a áreas geográficas específicas. Se mais pessoas puderem entender o que aconteceu com seus dados, maior será o dia de pagamento. O CTB-Locker foi um dos primeiros ransomwares a ser vendido como um serviço nos fóruns subterrâneos. Desde então, isso se tornou a norma, mas há dois anos era uma tendência emergente. Agora, os potenciais criminosos cibernéticos realmente não precisam de habilidades técnicas fortes, pois eles podem comprar malware pronto que incluem até mesmo um painel onde eles podem rastrear suas infecções bem sucedidas e retornar ao investimento. Em 2014, o analista de malware Kafeine conseguiu acessar um desses mercados negros e postou todas as informações anunciadas por criminosos online. Ao dar uma rápida olhada no anúncio dos criadores de malware, podemos ver que os seguintes serviços de suporte estão incluídos no pacote:

  • instruções sobre como instalar o pagamento bitcoin no servidor;
  • como ajustar as configurações de criptografia para atingir as vítimas selecionadas;
  • detalhes como o preço solicitado e a linguagem localizada que deve ser usada;
  • recomendações sobre o preço que você pode definir para a chave de descriptografia.

Especialistas em segurança da Heimdal notaram que o CTB Locker se espalha através de campanhas de spam, onde a mensagem de e-mail aparece como uma mensagem de FAX urgente. Esta é uma amostra do conteúdo de e-mail: De: Conteúdo falsificado / falsificado Assunto: Fax da RAMP Industries Ltd Fax de entrada, NB-112420319-8448 Nova mensagem de fax recebida de +07829 062999 [servidor fax]= +07955-168045 [servidor de fax]: [ID aleatório] Conteúdo: No.: +07434 20 65 74 Data: 2015/01/18 14:56:54 CST Para quem quer explorar ainda mais essa tensão, Posso recomendar esta extensa apresentação.

Reveton

reveton ransomware

Fonte de imagem. Em 2012, a maior cadeia de ransomware conhecida como Reveton começou a se espalhar. Foi baseado no troiano da Cidadela,que, por sua vez, fazia parte da família Zeus. Seu recurso de assinatura era exibir um aviso das agências de aplicação da lei, o que fez com que as pessoas o nomeássem de “trojan policial” ou “vírus policial“. Ao contrário dos outros tipos que as famílias mencionadas aqui, Reveton era um locker, o que significa que restringia o acesso ao próprio computador, não apenas aos arquivos. Uma vez que o aviso aparece, a vítima é informada de que o computador foi usado para atividades ilegais, como downloads de torrents ou para assistir pornografia. O display gráfico impôs a ideia de que tudo é real. Elementos como o endereço IPdo computador, logotipo da organização de aplicação da lei naquele país específico ou o conteúdo localizado,todos eles criaram a ilusão geral de que tudo está realmente acontecendo. Brian Krebs publicou uma análise maior sobre reveton, indicando que as explorações de segurança têm sido usadas por cibercriminosos e que: instalações inseguras e desatualizadas de Java permanecem de longe o veículo mais popular para explorar PCs. Quatro anos depois, Java é a mesma dor no ressalão proverbial.

TeslaCrypt

Fonte de imagem. Quando surgiu, o TeslaCrypt se concentrou em um público específico: os gamers. Não todos eles, mas na verdade um segmento que player uma série de jogos específicos, incluindo Call of Duty, World of Warcraft, Minecraft e World of Tanks. Ao explorar vulnerabilidades principalmente no Adobe Flash (um culpado em série por infecções por ransomware), o TeslaCrypt passa para alvos maiores, como empresas europeias. Especialistas em segurança cibernética conseguiram encontrar falhas no algoritmo de criptografia do TeslaCrypt duas vezes. Eles criaram ferramentas de descriptografia e fizeram o seu melhor para que os criadores de malware não descobrissem. Mas, como você pode imaginar, os fabricantes do TeslaCrypt corrigiram as falhas e lançaram novas versões que apresentavam criptografia mais forte e recursos aprimorados de vazamento de dados. Anunciamos o TeslaCrypt 4.0 em março de 2016, mas apenas dois meses depois, ele foi desligado! Para surpresa de todos, os criminosos cibernéticos até se desculparam. Os pesquisadores da ESET conseguiram obter a chave de descriptografia do mestre universal deles e construíram um descriptografador que você pode usar se acontecer de ser uma vítima do TeslaCrypt. Ninguém sabe por que os caras por trás do TeslaCrypt desistiram, mas só podemos esperar ver mais disso na cena do crime cibernético. O que virá a seguir? Embora não possamos adivinhar futuros ataques de criptografia, há uma tendência que os criminosos cibernéticos parecem estar perseguindo: ataques que são mais direcionados,mais cuidadosamente preparados e que requerem uma infraestrutura menor para ser implantada. Finalmente chegamos à melhor parte,onde você pode aprender o que fazer para ficar protegido contra ataques de ransomware.

RobbinHood

RobbinHood juntamente com Emotet, Ryuk, Maze e Trickbot são “caçadores de grandes jogos”, o que significa que eles se concentram em grandes empresas, instituições ou objetivos estratégicos (ou seja, usinas, plataformas de petróleo, hidrelétricas etc.). Detectado pela primeira vez na natureza em 2019, RobbinHood ganhou alta notoriedade depois de incapacitar várias redes de computadores de três grandes cidades norte-americanas. Em questão de dias, RobbinHood arrecadou cerca de US$ 2 milhões. Este ransomware é distribuído através de e-mails infectados (ou seja, macros armadas). Pesquisadores de cibersegurança têm a hipótese de que a razão por trás do RobbinHood aumentar a eficácia é sua capacidade de explorar uma vulnerabilidade residente principalmente em máquinas usando software legado (ou seja, drivers de placa-mãe desatualizados, especialmente aqueles desenvolvidos e distribuídos pela Gigabyte). As variantes subsequentes do RobbinHood foram adaptadas para instalar o kernel do driver de placa-mãe vulnerável nos sistemas de destino.

Ryuk

Estreando no inverno de 2018, Ryuk, da GRIM SPIDER, mostrou grande astúcia em derrubar redes inteiras. Após o ataque à Tribune Publishing, essa pressão de ransomware tomou presas maiores – provedores de saúde, instalações de gás e petróleo, delegacias de polícia e empresas de segurança on-line. Apesar de seu curto espaço de tempo, Ryuk conseguiu buscar em nome de seus criadores cerca de US $ 10 milhões. Como alguns pesquisadores de cibersegurança (por exemplo, Cohen e Herzog da Checkpoint) Ryuk compartilha várias semelhanças com Hermes, o ransomware por trás do ataque de 2017 ao Banco Internacional do Extremo Oriente de Taiwan. Apesar da semelhança de namoro entre Ryuk e Hermes, o primeiro é difícil de fazer engenharia reversa e, em alguns casos, quase impossível.

Emotet

Emotet é amplamente considerado como o rei não coroado dos trojans bancários, não por causa de sua eficiência, mas sim por sua carreira criminosa que se estende por meia década. Os ataques mais notáveis atribuídos a Emotet são os ataques de Allentown, Kammergericht, e a tentativa de 2020 de bloquear as redes de computadores do governo lituano. A Emotet cunhou o termo MaaS (Malware-as-a-Service), um serviço sob demanda e voltado para o comércio que torna o malware prontamente disponível para todos, independentemente da intenção. Como muitos malwares, o Emotet se espalha através de escrips maliciosos, links de phishing e arquivos habilitados para macro. Em 2018, o Departamento de Segurança Interna dos EUA emitiu um alerta sobre a Emotet e instou as empresas a atualizar suas defesas cibernéticas.

15 Itens para levar sua proteção de ransomware para o próximo nível

Esta é uma promessa que eu quero que você faça a si mesmo: que você vai levar a ameaça do ransomware a sério e fazer algo sobre isso antes que ele atinja seus dados. Já vi muitos gritos de socorro e muitas pessoas confusas e em pânico quando seus arquivos são criptografados. Como eu gostaria de poder dizer que a proteção de ransomware não é um tipo de situação de vida ou morte! Mas se você trabalha em um hospital e desencadeia uma infecção por ransomware de criptomoedas, ela pode realmente colocar vidas em risco. Aprender a prevenir ataques de ransomware é um conjunto de conhecimentos necessários e você pode fazê-lo tanto em casa quanto no trabalho. Então, aqui está o que eu quero que você me prometa:

Localmente, no PC

  1. Eu não armazeno dados importantes apenas no meu PC.
  2. Tenho 2 backups dos meus dados: em um disco rígido externo e na nuvem – Dropbox/Google Drive/etc.
  3. O aplicativo Dropbox/Google Drive/OneDrive/etc. no meu computador não está ligado por padrão. Só os abro uma vez por dia, para sincronizar meus dados, e fechá-los assim que isso for feito.
  4. Meu sistema operacional e o software que uso estão atualizados, incluindo as últimas atualizações de segurança.
  5. Para uso diário, não uso uma conta de administrador no meu computador. Eu uso uma conta de hóspedes com privilégios limitados.
  6. Desliguei as macros no pacote Microsoft Office – Word, Excel, PowerPoint, etc. No navegador
  7. Removi os seguintes plugins dos meus navegadores: Adobe Flash, Adobe Reader, Java e Silverlight. Se eu tiver que usá-los, eu defina o navegador para me perguntar se eu quero ativar esses plugins quando necessário.
  8. Ajustei as configurações de segurança e privacidade do meu navegadorpara maior proteção.
  9. Removi plugins e complementos desatualizados dos meus navegadores. Eu só mantive os que uso diariamente e os mantenho atualizados para a versão mais recente.
  10. Uso um bloqueador de anúncios para evitar a ameaça de anúncios potencialmente maliciosos.

Comportamento online

  1. Eu nunca abro e-mails de spam ou e-mails de remetentes desconhecidos.
  2. Eu nunca baixei anexos de e-mails de spam ou e-mails suspeitos.
  3. Eu nunca clico em links em e-mails de spam ou e-mails suspeitos.

Ferramentas de segurança anti-ransomware

  1. Eu uso um produto antivírus confiável e pago que inclui um módulo de atualização automática e um scanner em tempo real.
  2. Entendo a importância de ter uma solução de filtragem de tráfego que possa fornecer proteção anti-ransomware proativa.

Você pode ler uma versão estendida deste plano em nosso artigo dedicado.

Eu realmente vou aplicar as 15 coisas nesta lista para estar seguro contra #ransomware:Eu realmente vou aplicar as 15 coisas nesta lista para estar seguro contra #ransomware:

CLIQUE PARA TWITTAR

Eu quero que você esteja preparado, assim você nunca terá que lidar com a temida questão de: “devo pagar o resgate ou não?” Minha resposta sempre será um grande e gordo NÃO. Pagar o resgate não lhe dá nenhuma garantia de que os criminosos online do outro lado da transferência de Bitcoin lhe darão a chave de descriptografia. E mesmo que o façam, você estaria financiando ainda mais seus ataques gananciosos e alimentando o interminável ciclo malicioso de crimes cibernéticos. Para colocar as coisas em perspectiva, 1 em cada 4 usuários que pagaram o resgate não receberam seus dados de volta. Perderam a informação e o dinheiro.

Como recuperar seus dados sem pagar o resgate

Há centenas de tipos de ransomware lá fora, mas os pesquisadores de segurança cibernética estão trabalhando 24 horas por dia para quebrar a criptografia que pelo menos alguns deles usam. Infelizmente, as famílias mais notórias provaram ser inquebráveis até agora. Apesar disso, existem muitas outras cepas de criptoware que não são tão bem codificadas e que os especialistas foram capazes de quebrar. Para ajudá-lo a encontrar uma solução para recuperar seus dados sem mais criadores de ransomware de financiamento, montamos uma lista considerável de ferramentas de descriptografia de ransomware que você pode usar. Recomendamos que você leia sobre como essas ferramentas funcionam de antemão para que você tenha certeza de que esta é a melhor solução para o seu caso. Tenha em mente que os descriptografadores podem se tornar obsoletos por causa de atualizações constantes e novas versões aprimoradas lançadas por criminosos cibernéticos. É uma batalha interminável, e é por isso que pedimos que você se concentre na prevenção e em ter vários backups para seus dados.

Conclusão

O Ransomware trouxe extorsão em escala global, e cabe a todos nós, usuários, proprietários de negócios e tomadores de decisão, interrompê-la.

Agora sabemos que:

  • criar ameaças de malware ou ransomware agora é uma empresa e deve ser tratada como tal;
  • o estereótipo“hacker solitário no porão” morreu há muito tempo;
  • atual cenário de ameaças é dominado por grupos bem definidos e bem financiados que empregam ferramentas técnicas avançadas e habilidades de engenharia social para acessar sistemas e redes de computadores;
  • ainda mais,grupos criminosos cibernéticos são contratados por grandes estados para atingir não apenas objetivos financeiros, mas interesses políticos e estratégicos.

Também sabemos que não somos impotentes e há um punhado de coisas simples que podemos fazer para evitar ransomware. Os criminosos cibernéticos têm tanto impacto sobre seus dados e sua segurança quanto você lhes dá. Fique seguro e não se esqueça que a melhor proteção é sempre um backup!

FONTE: HEIMDAL SECURITY

Previous post Agente de viagens vazou dados de clientes por – isso é embaraçoso – dando-os em um hackathon
Next post Como o DMARC pode impedir que criminosos enviem e-mails falsos em nome do seu domínio

Deixe um comentário