O que é ransomware?

Os primeiros ataques de ransomware simplesmente exigiam um resgate em troca da chave de criptografia necessária para recuperar o acesso aos dados afetados ou o uso do dispositivo infectado. Ao fazer backup de dados regulares ou contínuos, uma organização pode limitar os custos desses tipos de ataques de ransomware e, muitas vezes, evitar pagar a exigência de resgate.

Nos últimos anos, os ataques de ransomware evoluíram e incluem táticas de extorsão dupla e tripla, que aumentam consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente os backups de dados ou pagam o pedido inicial de resgate estão em risco.

Os ataques de extorsão dupla adicionam a ameaça de roubar os dados da vítima e vazá-los online. Os ataques de extorsão tripla acrescentam a ameaça de usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.

O ransomware é uma das formas mais comuns de software malicioso, e os ataques de ransomware podem custar milhões de dólares às organizações atingidas.

20% de todos os ciberataques registrados pelo índice IBM X-Force Threat Intelligence Index em 2023 envolveram ransomware. E esses ataques ocorrem rapidamente. Quando os hackers obtêm acesso a uma rede, leva menos de quatro dias para o ransomware ser implementado. Essa velocidade dá às organizações pouco tempo para detectar e impedir possíveis ataques.

As vítimas de ransomware e os negociadores relutam em divulgar os pagamentos de resgate, mas os agentes de ameaças frequentemente exigem valores de sete e oito dígitos. E os pagamentos de resgate são apenas parte do custo total de uma infecção por ransomware. De acordo com o relatório do custo das violações de dados da IBM, o custo médio de uma violação de ransomware é de US$ 5,68 milhões, o que não inclui pagamentos de resgate.

Dito isso, as equipes de cibersegurança estão se tornando mais hábeis no combate ao ransomware. O índice X-Force Threat Intelligence encontrou uma queda de 11,5% nas infecções por ransomware entre 2022 e 2023, provavelmente devido a melhorias na detecção e prevenção de ameaças.

Existem dois tipos gerais de ransomware. O tipo mais comum, chamado de ransomware criptografado ou ransomware criptográfico, mantém os dados da vítima reféns criptografando-os. Em seguida, o invasor exige um resgate em troca do fornecimento da chave de criptografia necessária para descriptografar os dados.

A forma menos comum de ransomware, chamada de ransomware não criptografado ou ransomware de bloqueio de tela, bloqueia todo o dispositivo da vítima, geralmente bloqueando o acesso ao sistema operacional. Em vez de ser inicializado como de costume, o dispositivo exibe uma tela que faz a exigência de resgate.

Esses dois tipos gerais se enquadram nestas subcategorias:

Leakware ou doxware é um ransomware que rouba, ou exfiltra, dados confidenciais e ameaça publicá-los. Enquanto formas anteriores de leakware ou doxware muitas vezes roubavam dados sem criptografá-los, as variantes atuais geralmente fazem as duas coisas.

O ransomware móvel inclui todos os ransomwares que afetam dispositivos móveis. Fornecido por meio de aplicações mal-intencionadas ou downloads automáticos, a maioria dos ransomwares para dispositivos móveis não são criptografados. Os hackers preferem bloqueadores de tela para ataques móveis porque os backups automatizados de dados na nuvem, padrão em muitos dispositivos móveis, facilitam a reversão de ataques de criptografia.

Wipers, ou ransomware destrutivo, ameaçam destruir dados se a vítima não pagar o resgate. Em alguns casos, o ransomware destrói os dados mesmo que a vítima pague. Esse último tipo de wiper é frequentemente implementado por atores de estados-nação ou hacktivistas, em vez de cibercriminosos comuns.

OScareware é exatamente o que parece: ransomware que tenta assustar os usuários para que pagem um resgate. O scareware pode se passar por uma mensagem de uma agência de segurança pública, acusando a vítima de um crime e exigindo uma multa. Como alternativa, ele pode falsificar um alerta legítimo de infecção por vírus, incentivando a vítima a comprar um ransomware disfarçado de software antivírus.

Às vezes, o scareware é um ransomware, que criptografa os dados ou bloqueia o dispositivo. Em outros casos, é o vetor do ransomware, que não criptografa nada, mas coage a vítima a baixar o ransomware.

Ataques de ransomware podem usar vários métodos ou vetores para infectar uma rede ou um dispositivo. Alguns dos mais proeminentes vetores de infecção por ransomware incluem:

Os ataques de engenharia social induzem as vítimas a baixar e executar arquivos executáveis que se revelam como ransomware. Por exemplo, um e-mail de phishing pode conter um anexo malicioso disfarçado de um .pdf de aparência inofensiva, um documento do Microsoft Word ou outro arquivo.

Os ataques de engenharia social também podem fazer com que os usuários visitem um site malicioso ou escaneiem códigos QR maliciosos que transmitem o ransomware pelo navegador do usuário.

Os cibercriminosos frequentemente exploram vulnerabilidades existentes para injetar código malicioso em um dispositivo ou rede.

As vulnerabilidades de dia zero, que são vulnerabilidades desconhecidas pela comunidade de segurança, ou identificadas, mas ainda não corrigidas, representam uma ameaça específica. Algumas quadrilhas de ransomware compram informações sobre falhas de dia zero de outros hackers para planejar seus ataques. Os hackers também usaram efetivamente vulnerabilidades corrigidas como vetores de ataque, como foi o caso do ataque WannaCry de 2017.

Os cibercriminosos podem roubar as credenciais de usuários autorizados, comprá-las na dark web ou decifrá-las por meio de ataques de força bruta. Eles usam essas credenciais para fazer login em uma rede ou um computador e implementar o ransomware diretamente.

O protocolo de área de trabalho remota (RDP), um protocolo proprietário da Microsoft que permite que os usuários acessem um computador remotamente, é um alvo popular de roubo de credenciais entre os invasores de ransomware.

Os hackers geralmente usam malware desenvolvido para outros ataques para entregar ransomware a um dispositivo. Os agentes de ameaças usaram o cavalo de Troia Trickbot, originalmente projetado para roubar credenciais bancárias, para espalhar a variante do ransomware Conti em 2021.

Os hackers podem usar sites para transmitir ransomware para dispositivos sem o conhecimento dos usuários. Os kits de exploração usam sites comprometidos para verificar os navegadores dos visitantes em busca de vulnerabilidades de aplicações da web que eles podem usar para injetar ransomware em um dispositivo.

Malvertising (anúncios digitais legítimos que hackers comprometeram) também podem transmitir ransomware para dispositivos, mesmo que o usuário não clique no anúncio.

Os cibercriminosos não precisam necessariamente desenvolver seu próprio ransomware para explorar esses vetores. Alguns desenvolvedores de ransomware compartilham seu código de malware com cibercriminosos por meio de acordos de ransomware como serviço (RaaS).

O cibercriminoso, ou "afiliado", usa o código para realizar um ataque e dividir o pagamento do resgate com o desenvolvedor. É uma relação mutuamente benéfica. Os afiliados podem lucrar com a extorsão sem precisar desenvolver seu próprio malware, e os desenvolvedores podem aumentar seus lucros sem lançar mais ciberataques.

Os distribuidores de ransomware podem vender ransomware por meio de mercados digitais na dark web. Eles também podem recrutar afiliados diretamente por meio de fóruns online ou meios semelhantes. Grandes grupos de ransomware investiram valores significativos de dinheiro em esforços de recrutamento para atrair afiliados.

Um ataque de ransomware normalmente passa por esses estágios.

Até o momento, os pesquisadores de cibersegurança identificaram milhares de variantes de ransomware distintas, ou "famílias" — cepas únicas com suas próprias assinaturas de código e funções.

Várias cepas de ransomware são especialmente notáveis pela extensão de sua destruição, como influenciaram o desenvolvimento do ransomware ou pelas ameaças que representam hoje.

Aparecendo pela primeira vez em setembro de 2013, o CryptoLocker é amplamente creditado como o pontapé inicial da era moderna do ransomware.

Espalhado por uma botnet (uma rede de computadores interceptados), o CryptoLocker foi uma das primeiras famílias de ransomware a criptografar fortemente os arquivos dos usuários. Extorquiu cerca de US$ 3 milhões antes que um esforço internacional de segurança pública o encerrasse em 2014.

O sucesso do CryptoLocker gerou inúmeros imitadores e abriu caminho para variantes como o WannaCry, Ryuk e Petya.

O primeiro criptoworm (ransomware que pode se espalhar para outros dispositivos em uma rede) de alta visibilidade, o WannaCry, atacou mais de 200.000 computadores em 150 países. Os computadores afetados estavam vulneráveis porque os administradores não haviam corrigido a vulnerabilidade EternalBlue do Microsoft Windows.

Além de criptografar dados confidenciais, o ransomware WannaCry ameaçava apagar os arquivos se as vítimas não enviassem o pagamento em sete dias. Ele continua sendo um dos maiores ataques de ransomware até hoje, com custos estimados de até US$ 4 bilhões.

Ao contrário de outros ransomware cripto, o Petya criptografa a tabela do sistema de arquivos em vez de arquivos individuais, tornando o computador infectado incapaz de iniciar o Windows.

Uma versão fortemente modificada, NotPetya, foi usada para realizar um ciberataque em larga escala, principalmente contra a Ucrânia, em 2017. O NotPetya era um destruidor de dados, e era impossível desbloquear os sistemas mesmo após o pagamento do resgate.

Visto pela primeira vez em 2018, o Ryuk popularizou ataques de "ransomware big-game" contra alvos específicos de alto valor, com exigências de resgate em média de mais de US$ 1 milhão. O Ryuk pode localizar e desativar arquivos de backup e funcionalidades de restauração do sistema. Uma nova cepa com recursos de cryptoworm apareceu em 2021.

Administrado por um grupo suspeito de estar operando fora da Rússia, o DarkSide é a variante de ransomware que atacou o Colonial Pipeline em 7 de maio de 2021. No que muitos consideram ser o pior ciberataque à infraestrutura crítica dos EUA até hoje, o DarkSide fechou temporariamente o oleoduto que abastece 45% do combustível da costa leste.

Além de conduzir ataques diretos, o grupo DarkSide também licencia seu ransomware para afiliados por meio de acordos de RaaS.

O Locky é um ransomware criptografado com um método distinto de infecção. Ele usa macros ocultas em anexos de e-mail (arquivos do Microsoft Word) disfarçados como faturas legítimas. Quando um usuário baixa e abre o documento do Microsoft Word, macros maliciosas fazem o download secretamente da carga útil do ransomware para o dispositivo do usuário.

O REvil, também conhecido como Sodin ou Sodinokibi, ajudou a popularizar a abordagem RaaS para distribuição de ransomware.

Conhecido pelo uso em caçadas e ataques de dupla extorsão de grande porte, o REvil esteve por trás dos ataques de 2021 contra a JBS USA e a Kaseya Limited. A JBS pagou um resgate de US$ 11 milhões depois que os hackers interromperam toda a sua operação de processamento de carne bovina nos EUA. O downtime significativo afetou mais de 1.000 clientes de software da Kaseya.

O Serviço Federal de Segurança Russo informou que desativou o REvil e condenou vários de seus membros no início de 2022.

Visto pela primeira vez em 2020, a quadrilha Conti operava um extenso esquema de RaaS no qual pagava aos hackers um salário regular para usar seu ransomware. A Conti usou uma forma única de dupla extorsão, na qual a quadrilha ameaçava vender o acesso à rede da vítima para outros hackers se a vítima não pagasse.

A Conti foi desfeita depois que os registros de bate-papo interno da quadrilha vazaram em 2022, mas muitos ex-membros ainda estão ativos no mundo do crime cibernético. De acordo com o índice X-Force Threat Intelligence, ex-associados da Conti foram vinculados a algumas das variantes de ransomware mais difundidas atualmente, incluindo BlackBasta, Royal e Zeon.

Uma das variantes de ransomware mais comuns em 2023, de acordo com o índice X-Force Threat Intelligence, o LockBit é notável pelo comportamento profissional de seus desenvolvedores. O grupo LockBit tem sido conhecido por adquirir outras cepas de malware da mesma forma que empresas legítimas adquirem outras empresas.

Embora as autoridades policiais tenham apreendido alguns dos sites da LockBit em fevereiro de 2024 e o governo dos EUA tenha imposto sanções a um dos líderes seniores da gangue, a LockBit continua fazendo vítimas.

As exigências de resgate variam muito, e muitas vítimas optam por não divulgar quanto pagaram, por isso é difícil determinar um valor médio de pagamento de resgate. Dito isso, a maioria das estimativas o coloca na faixa de seis a sete dígitos. Os invasores exigiram pagamentos de resgate de até US$ 80 milhões, de acordo com o Guia definitivo sobre Ransomware da IBM.

É importante ressaltar que a proporção de vítimas que pagam qualquer resgate caiu drasticamente nos últimos anos. De acordo com a empresa de resposta a incidentes de extorsão cibernética Coveware, apenas 37% das vítimas pagaram resgate em 2023, em comparação com 70% em 2020.¹

Os especialistas apontam para uma melhor preparação para o crime cibernético – incluindo o aumento do investimento em backups de dados, planos de resposta a incidentes e tecnologia de prevenção e detecção de ameaças – como um possível fator por trás dessa reversão.

As agências federais de segurança pública dos EUA desencorajam unanimemente as vítimas de ransomware a pagar exigências de resgate. De acordo com a National Cyber Investigative Joint Task Force (NCIJTF), uma coalizão de 20 agências federais dos EUA parceiras encarregadas de investigar ameaças cibernéticas:

"O FBI não incentiva o pagamento de um resgate a agentes criminais. O pagamento de um resgate pode encorajar os adversários a visar organizações adicionais, incentivar outros agentes criminais a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas. O pagamento do resgate também não garante que os arquivos da vítima sejam recuperados."

As agências de segurança pública recomendam que as vítimas de ransomware relatem os ataques às autoridades competentes, como o Internet Crime Complaint Center (IC3) do FBI, antes de pagar um resgate.

Algumas vítimas de ataques de ransomware têm a obrigação legal de relatar infecções de ransomware, independentemente de pagarem um resgate. Por exemplo, a conformidade com HIPAA geralmente exige que entidades de assistência médica relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos.

Sob certas condições, pagar um resgate pode ser ilegal.

O US Office of Foreign Assets Control (OFAC) declarou que pagar um resgate a invasores de países sob sanções econômicas dos EUA (como a Coreia do Norte ou o Irã) viola os regulamentos do OFAC. Os infratores podem ser penalizados com sanções civis, multas ou acusações criminais.

Alguns estados dos EUA, como Flórida e Carolina do Norte, tornaram ilegal o pagamento de resgate por agências governamentais estaduais.

Especialistas em cibersegurança e agências federais como a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Serviço Secreto dos EUA recomendam que as organizações tomem medidas de precaução para se defender contra ameaças de ransomware. Essas medidas podem incluir:

• Manutenção de backups de dados confidenciais e imagens do sistema, de preferência em discos rígidos ou outros dispositivos que a equipe de TI possa desconectar da rede no caso de um ataque de ransomware.
  
  
• Aplicação de patches regularmente para ajudar a impedir ataques de ransomware que exploram vulnerabilidades do software e do sistema operacional.
  
  
• Ferramentas de cibersegurança como software antimalware, ferramentas de monitoramento de rede, plataformas de detecção e resposta de endpoints (EDR) e sistemas de gerenciamento de informações e eventos de segurança (SIEM) podem ajudar as equipes de segurança a interceptar ransomware em tempo real.
  
  
• O treinamento dos funcionários em cibersegurança pode ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware.
  
  
• A implementação de políticas de controle de acesso, incluindo autenticação multifator, segmentação de rede e medidas similares, pode impedir que o ransomware alcance dados confidenciais. Os controles de gerenciamento de acesso e identidade (IAM) também podem impedir que os criptoworms se espalhem para outros dispositivos na rede.
  
  
• Planos formais de resposta a incidentes permitem que as equipes de segurança interceptem e corrijam violações em menos tempo. O relatório do custo das violações de dados constatou que organizações com planos formais e equipes dedicadas de resposta a incidentes identificam violações 54 dias mais rápido do que organizações que não possuem nenhum dos dois. Esse tempo de detecção mais rápido reduz os custos de remediação, economizando às organizações em média quase US$ 1 milhão.

Embora as ferramentas de decriptografia para algumas variantes de ransomware estejam disponíveis publicamente por meio de projetos como No More Ransom², a remediação de uma infecção ativa por ransomware geralmente requer uma abordagem multifacetada.

Consulte o Guia definitivo sobre ransomware da IBM Security para obter um exemplo de plano de resposta a incidentes de ransomware modelado com base no ciclo de vida de resposta a incidentes do Instituto Nacional de Padrões e Tecnologia (NIST).

1989: o primeiro ransomware documentado, conhecido como "AIDS Trojan" ou ataque "P.C. Cyborg", é distribuído por meio de disquetes. Ele oculta os diretórios de arquivos no computador da vítima e exige US$ 189 para desocultá-los. Como esse malware funciona criptografando os nomes dos arquivos em vez dos arquivos em si, é fácil para os usuários reverterem os danos sem pagar o resgate.

1996: ao analisar o AIDS Trojan, os cientistas da computação Adam L. Young e Moti Yung alertam sobre futuras formas de malware que poderiam usar uma criptografia mais sofisticada para manter os dados confidenciais reféns.

2005: após relativamente poucos ataques de ransomware no início da década de 2000, começa um aumento de infecções, com foco na Rússia e na Europa Oriental. Aparecem as primeiras variantes que utilizam criptografia assimétrica. À medida que novos ransomwares oferecem formas mais eficazes de extorquir dinheiro, mais cibercriminosos começam a disseminar ransomware em todo o mundo.

2009: a introdução das criptomoedas, especialmente o Bitcoin, oferece aos cibercriminosos uma maneira de receber pagamentos de resgate não rastreáveis, impulsionando a próxima disparada na atividade de ransomware.

2013: a era moderna do ransomware começa com o CryptoLocker inaugurando a onda atual de ataques de ransomware baseados em criptografia altamente sofisticados, que solicitam pagamento em criptomoedas.

2015: A variante do ransomware Tox introduz o modelo de ransomware como serviço (RaaS).

2017: Aparece o WannaCry, o primeiro criptoworm autorreplicante amplamente usado.

2018: o Ryuk popularizou a caça de grandes alvos com ransomware.

2019: Ataques de ransomware de dupla e tripla extorsão se tornam mais populares. Quase todos os incidentes de ransomware aos quais a equipe de resposta a incidentes do IBM Security X-Force respondeu desde 2019 envolveram dupla extorsão.

2022: O sequestro de thread, no qual os cibercriminosos se inserem nas conversas on-line legítimas dos alvos para espalhar malware, surge como um vetor de ransomware proeminente.

2023: À medida que as defesas contra ransomware melhoram, muitas gangues de ransomware começam a expandir seus arsenais e a complementar seus ransomwares com novas táticas de extorsão. Em particular, gangues como LockBit e alguns remanescentes da Conti começam a usar um malware infostealer que lhes permite roubar dados confidenciais e mantê-los como reféns sem a necessidade de bloquear os sistemas das vítimas.