Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Início
topics
Ransomware
O que é ransomware?
Atualizado em: 4 de junho de 2024
Colaborador: Matthew Kosinski
O ransomware é um tipo de malware que sequestra dados confidenciais ou dispositivos da vítima e ameaça mantê-los bloqueados – ou até pior – a menos que a vítima pague um resgate ao invasor.
Os primeiros ataques de ransomware simplesmente exigiam um resgate em troca da chave de criptografia necessária para recuperar o acesso aos dados afetados ou o uso do dispositivo infectado. Ao fazer backup de dados regulares ou contínuos, uma organização pode limitar os custos desses tipos de ataques de ransomware e, muitas vezes, evitar pagar a exigência de resgate.
Nos últimos anos, os ataques de ransomware evoluíram e incluem táticas de extorsão dupla e tripla, que aumentam consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente os backups de dados ou pagam o pedido inicial de resgate estão em risco.
Os ataques de extorsão dupla adicionam a ameaça de roubar os dados da vítima e vazá-los online. Os ataques de extorsão tripla acrescentam a ameaça de usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.
Por que o ransomware é uma grande ameaça cibernética?
O ransomware é uma das formas mais comuns de software malicioso, e os ataques de ransomware podem custar milhões de dólares às organizações afetadas.
20% de todos os ciberataques registrados pelo índice IBM X-Force Threat Intelligence Index em 2023 envolveram ransomware. E esses ataques ocorrem rapidamente. Quando os hackers obtêm acesso a uma rede, leva menos de quatro dias para o ransomware ser implementado. Essa velocidade dá às organizações pouco tempo para detectar e impedir possíveis ataques.
Vítimas e negociadores de ransomware relutam em divulgar os pagamentos pelo resgate, mas os agentes de ameaças geralmente exigem valores de sete e oito dígitos. E os pagamentos de resgate são apenas uma parte do custo total de uma infecção por ransomware. De acordo com o relatório da IBM dos custos das violações de dados, o custo médio de uma violação de ransomware é de US$ 5,13 milhões, que não inclui pagamentos de resgate.
Dito isso, as equipes de cibersegurança estão se tornando mais hábeis no combate ao ransomware. O índice X-Force Threat Intelligence constatou que as infecções por ransomware diminuíram em 11,5% entre 2022 e 2023, provavelmente devido a melhorias na detecção e prevenção de ameaças.
Aumente seu conhecimento e repense seu plano de resposta a incidentes para fortalecer as defesas da sua organização contra ransomware.
Existem dois tipos gerais de ransomware. O tipo mais comum, chamado de ransomware criptografado ou ransomware criptográfico, mantém os dados da vítima reféns criptografando-os. Em seguida, o invasor exige um resgate em troca do fornecimento da chave de criptografia necessária para descriptografar os dados.
A forma menos comum de ransomware, chamada de ransomware não criptografado ou ransomware de bloqueio de tela, bloqueia todo o dispositivo da vítima, geralmente bloqueando o acesso ao sistema operacional. Em vez de ser inicializado como de costume, o dispositivo exibe uma tela que faz a exigência de resgate.
Esses dois tipos gerais se enquadram nestas subcategorias:
Leakware ou doxware é um ransomware que rouba, ou exfiltra, dados confidenciais e ameaça publicá-los. Enquanto formas anteriores de leakware ou doxware muitas vezes roubavam dados sem criptografá-los, as variantes atuais geralmente fazem as duas coisas.
O ransomware móvel inclui todos os ransomwares que afetam dispositivos móveis. Fornecido por meio de aplicações mal-intencionadas ou downloads automáticos, a maioria dos ransomwares para dispositivos móveis não são criptografados. Os hackers preferem bloqueadores de tela para ataques móveis porque os backups automatizados de dados na nuvem, padrão em muitos dispositivos móveis, facilitam a reversão de ataques de criptografia.
Wipers, ou ransomware destrutivo, ameaçam destruir dados se a vítima não pagar o resgate. Em alguns casos, o ransomware destrói os dados mesmo que a vítima pague. Esse último tipo de wiper é frequentemente implementado por agentes ou hacktivistas de estados-nação, em vez de cibercriminosos comuns.
O scareware é exatamente o que parece: um ransomware que tenta assustar os usuários e fazê-los pagar um resgate. O scareware pode se passar por uma mensagem de uma agência de segurança pública, acusando a vítima de um crime e exigindo uma multa. Como alternativa, ele pode falsificar um alerta legítimo de infecção por vírus, incentivando a vítima a comprar um ransomware disfarçado de software antivírus.
Às vezes, o scareware é um ransomware, que criptografa os dados ou bloqueia o dispositivo. Em outros casos, é o vetor do ransomware, que não criptografa nada, mas coage a vítima a baixar o ransomware.
Como o ransomware infecta um sistema ou dispositivo
Ataques de ransomware podem usar vários métodos ou vetores para infectar uma rede ou um dispositivo. Alguns dos mais proeminentes vetores de infecção por ransomware incluem:
Os ataques de engenharia social induzem as vítimas a baixar e executar arquivos executáveis que acabam sendo ransomware. Por exemplo, um e-mail de phishing pode conter um anexo malicioso disfarçado como um arquivo .pdf, documento do Microsoft Word ou outro arquivo de aparência inofensiva.
Os ataques de engenharia social também podem fazer com que os usuários visitem um site malicioso ou escaneiem códigos QR maliciosos que transmitem o ransomware pelo navegador do usuário.
Os cibercriminosos muitas vezes exploram vulnerabilidades existentes para injetar um código malicioso em um dispositivo ou rede.
As vulnerabilidades de dia zero, que são vulnerabilidades desconhecidas pela comunidade de segurança ou identificadas, mas ainda não corrigidas, representam uma ameaça específica. Algumas quadrilhas de ransomware compram informações sobre falhas de dia zero de outros hackers para planejar seus ataques. Os hackers também usaram efetivamente vulnerabilidades corrigidas como vetores de ataque, como foi o caso do ataque WannaCry de 2017.
Os cibercriminosos podem roubar as credenciais de usuários autorizados, comprá-las na dark web ou decifrá-las por meio de ataques de força bruta. Eles usam essas credenciais para fazer login em uma rede ou um computador e implementar o ransomware diretamente.
O protocolo de área de trabalho remota (RDP), um protocolo proprietário da Microsoft que permite que os usuários acessem um computador remotamente, é um alvo popular de roubo de credenciais entre os invasores de ransomware.
Os hackers geralmente usam malwares desenvolvidos para outros ataques para entregar o ransomware a um dispositivo. Os agentes de ameaças usaram o cavalo de Troia Trickbot, originalmente projetado para roubar credenciais bancárias, para espalhar a variante do ransomware Conti ao longo de 2021.
Os hackers podem usar sites para transmitir ransomware para dispositivos sem o conhecimento dos usuários. Os kits de exploração usam sites comprometidos para escanear os navegadores dos visitantes em busca de vulnerabilidades de aplicações web que eles podem usar para injetar ransomware em um dispositivo.
Malvertising (anúncios digitais legítimos que hackers comprometeram) também podem transmitir ransomware para dispositivos, mesmo que o usuário não clique no anúncio.
Ransomware como serviço
Os cibercriminosos não precisam necessariamente desenvolver seu próprio ransomware para explorar esses vetores. Alguns desenvolvedores de ransomware compartilham seu código de malware com cibercriminosos por meio de acordos de ransomware como serviço (RaaS).
O cibercriminoso, ou "afiliado", usa o código para realizar um ataque e dividir o pagamento do resgate com o desenvolvedor. É uma relação mutuamente benéfica. Os afiliados podem lucrar com a extorsão sem precisar desenvolver seu próprio malware, e os desenvolvedores podem aumentar seus lucros sem lançar mais ciberataques.
Os distribuidores de ransomware podem vender ransomware por meio de mercados digitais na dark web. Eles também podem recrutar afiliados diretamente por meio de fóruns online ou meios semelhantes. Grandes grupos de ransomware investiram quantias significativas de dinheiro em esforços de recrutamento para atrair afiliados.
Um ataque de ransomware normalmente passa por esses estágios.
De acordo com o Guia definitivo sobre ransomware do IBM Security, os vetores mais comuns para ataques de ransomware são phishing, exploração de vulnerabilidades e comprometimento de protocolos de acesso remoto como RDP.
Dependendo do vetor de acesso inicial, os hackers podem implementar uma ferramenta intermediária de acesso remoto (RAT) ou outro malware para ajudar a ganhar um ponto de apoio no sistema alvo.
Durante esta terceira fase, os invasores concentram-se em entender o sistema local e o domínio que podem acessar atualmente. Os invasores também trabalham para obter acesso a outros sistemas e domínios, um processo chamado movimento lateral.
Aqui, os operadores de ransomware mudam de foco para identificar dados valiosos e exfiltrá-los (roubá-los), geralmente fazendo download ou exportando uma cópia para si mesmos.
Embora os invasores possam exfiltrar qualquer dado que possam acessar, eles geralmente se concentram em dados especialmente valiosos (credenciais de login, informações pessoais dos clientes, propriedade intelectual) que podem usar para extorsão dupla.
O ransomware cripto começa a identificar e criptografar arquivos. Alguns ransomware cripto também desativam os recursos de restauração do sistema ou excluem ou criptografam os backups no computador ou na rede da vítima para aumentar a pressão pelo pagamento da chave de descriptografia.
O ransomware não criptografado bloqueia a tela do dispositivo, inunda o dispositivo com pop-ups ou impede que a vítima use o dispositivo.
Depois que os arquivos foram criptografados ou o dispositivo foi tornado inutilizável, o ransomware alerta a vítima para a infecção. Essa notificação geralmente é enviada por meio de um arquivo .txt colocado na área de trabalho do computador ou por meio de uma janela pop-up.
A nota de resgate contém instruções sobre como pagar o resgate, geralmente em criptomoeda ou um método igualmente não rastreável. O pagamento é feito em troca de uma chave de descriptografia ou da restauração das operações padrão.
Até o momento, os pesquisadores de cibersegurança identificaram milhares de variantes de ransomware distintas, ou "famílias" – cepas únicas com suas próprias assinaturas de código e funções.
Várias cepas de ransomware são especialmente notáveis pela extensão de sua destruição, como influenciaram o desenvolvimento do ransomware ou pelas ameaças que representam hoje.
CryptoLocker
Aparecendo pela primeira vez em setembro de 2013, o CryptoLocker é amplamente creditado por dar início à era moderna do ransomware.
Espalhado por uma botnet (uma rede de computadores interceptados), o CryptoLocker foi uma das primeiras famílias de ransomware a criptografar fortemente os arquivos dos usuários. Extorquiu cerca de US$ 3 milhões antes que um esforço internacional de segurança pública o encerrasse em 2014.
O sucesso do CryptoLocker gerou inúmeros imitadores e abriu caminho para variantes como o WannaCry, Ryuk e Petya.
WannaCry
O primeiro criptoworm de alto perfil – um ransomware que pode se espalhar para outros dispositivos em uma rede – o WannaCry atacou mais de 200.000 computadores em 150 países. Os computadores afetados estavam vulneráveis porque os administradores não haviam corrigido a vulnerabilidade EternalBlue do Microsoft Windows.
Além de criptografar dados confidenciais, o ransomware WannaCry ameaçava apagar os arquivos se as vítimas não enviassem o pagamento em sete dias. Ele continua sendo um dos maiores ataques de ransomware até hoje, com custos estimados de até US$ 4 bilhões.
Petya e NotPetya
Ao contrário de outros ransomware cripto, o Petya criptografa a tabela do sistema de arquivos em vez de arquivos individuais, tornando o computador infectado incapaz de iniciar o Windows.
Uma versão fortemente modificada, NotPetya, foi usada para realizar um ciberataque em larga escala, principalmente contra a Ucrânia, em 2017. O NotPetya era um destruidor de dados, e era impossível desbloquear os sistemas mesmo após o pagamento do resgate.
Ryuk
Visto pela primeira vez em 2018, o Ryuk popularizou ataques de "ransomware de grande porte" contra alvos específicos de alto valor, com exigências de resgate em média de mais de US$ 1 milhão. O Ryuk pode localizar e desativar arquivos de backup e recursos de restauração do sistema. Uma nova cepa com recursos de cryptoworm apareceu em 2021.
DarkSide
Administrado por um grupo suspeito de estar operando fora da Rússia, o DarkSide é a variante de ransomware que atacou o Colonial Pipeline em 7 de maio de 2021. No que muitos consideram ser o pior ciberataque à infraestrutura crítica dos EUA até hoje, o DarkSide fechou temporariamente o oleoduto que abastece 45% do combustível da costa leste.
Além de conduzir ataques diretos, o grupo DarkSide também licencia seu ransomware para afiliados por meio de acordos de RaaS.
Locky
O Locky é um ransomware criptografado com um método distinto de infecção. Ele usa macros ocultas em anexos de e-mail (arquivos do Microsoft Word) disfarçados como faturas legítimas. Quando um usuário baixa e abre o documento do Microsoft Word, macros maliciosas baixam secretamente a carga útil do ransomware para o dispositivo do usuário.
REvil
O REvil, também conhecido como Sodin ou Sodinokibi, ajudou a popularizar a abordagem RaaS para distribuição de ransomware.
Conhecido pelo uso em caçadas e ataques de dupla extorsão de grande porte, o REvil esteve por trás dos ataques de 2021 contra a JBS USA e a Kaseya Limited. A JBS pagou um resgate de US$ 11 milhões depois que os hackers interromperam toda a sua operação de processamento de carne bovina nos EUA. O downtime significativo afetou mais de 1.000 clientes de software da Kaseya.
O Serviço Federal de Segurança Russo informou que desativou o REvil e condenou vários de seus membros no início de 2022.
Conti
Visto pela primeira vez em 2020, a gangue Conti operava um extenso esquema de RaaS no qual pagava aos hackers um salário regular para usar seu ransomware. A Conti usou uma forma única de dupla extorsão, na qual a gangue ameaçava vender o acesso à rede da vítima para outros hackers se a vítima não pagasse.
A Conti foi desfeita depois que os registros de bate-papo interno da gangue vazaram em 2022, mas muitos ex-membros ainda estão ativos no mundo do crime cibernético. De acordo com o índice X-Force Threat Intelligence, ex-associados da Conti foram vinculados a algumas das variantes de ransomware mais difundidas atualmente, incluindo BlackBasta, Royal e Zeon.
LockBit
Uma das variantes de ransomware mais comuns em 2023, de acordo com o índice X-Force Threat Intelligence, o LockBit é notável pelo comportamento profissional de seus desenvolvedores. Sabe-se que o grupo LockBit adquire outras cepas de malware da mesma forma que empresas legítimas adquirem outras empresas.
Embora as autoridades policiais tenham apreendido alguns dos sites da LockBit em fevereiro de 2024 e o governo dos EUA tenha imposto sanções a um dos líderes seniores da gangue, a LockBit continua fazendo vítimas.
As exigências de resgate variam muito, e muitas vítimas optam por não divulgar quanto pagaram, por isso é difícil determinar um valor médio de pagamento de resgate. Dito isso, a maioria das estimativas o coloca na faixa de seis a sete dígitos. Os invasores exigiram pagamentos de resgate de até US$ 80 milhões, de acordo com o Guia definitivo sobre Ransomware da IBM.
É importante ressaltar que a proporção de vítimas que pagam qualquer resgate caiu drasticamente nos últimos anos. De acordo com a empresa de resposta a incidentes de extorsão cibernética Coveware, apenas 37% das vítimas pagaram resgate em 2023, em comparação com 70% em 2020.1
Os especialistas apontam para uma melhor preparação para o crime cibernético – incluindo o aumento do investimento em backups de dados, planos de resposta a incidentes e tecnologia de prevenção e detecção de ameaças – como um possível fator por trás dessa reversão.
Orientação da segurança pública
As agências federais de segurança pública dos EUA desencorajam unanimemente as vítimas de ransomware a pagar exigências de resgate. De acordo com a National Cyber Investigative Joint Task Force (NCIJTF), uma coalizão de 20 agências federais dos EUA parceiras encarregadas de investigar ameaças cibernéticas:
"O FBI não incentiva o pagamento de um resgate a agentes criminais. O pagamento de um resgate pode encorajar os adversários a visar organizações adicionais, incentivar outros agentes criminais a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas. O pagamento do resgate também não garante que os arquivos da vítima sejam recuperados."
As agências de segurança pública recomendam que as vítimas de ransomware relatem os ataques às autoridades competentes, como o Internet Crime Complaint Center (IC3) do FBI, antes de pagar um resgate.
Algumas vítimas de ataques de ransomware têm a obrigação legal de relatar infecções de ransomware, independentemente de pagarem um resgate. Por exemplo, a conformidade com HIPAA geralmente exige que entidades de assistência médica relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos.
Sob certas condições, pagar um resgate pode ser ilegal.
O Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC) declarou que pagar um resgate a invasores de países sob sanções econômicas dos EUA, como a Coreia do Norte ou o Irã, viola os regulamentos do OFAC. Os infratores podem enfrentar sanções civis, multas ou acusações criminais.
Alguns estados dos EUA, como Flórida e Carolina do Norte, tornaram ilegal o pagamento de resgate por agências governamentais estaduais.
Especialistas em cibersegurança e agências federais como a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Serviço Secreto dos EUA recomendam que as organizações tomem medidas de precaução para se defender contra ameaças de ransomware. Essas medidas podem incluir:
- Manter backups de dados confidenciais e imagens do sistema, de preferência em discos rígidos ou outros dispositivos que a equipe de TI possa desconectar da rede no caso de um ataque de ransomware.
- A aplicação regular de correções para ajudar a impedir ataques de ransomware que exploram vulnerabilidades do software e do sistema operacional.
- Ferramentas de cibersegurança, como software antimalware, ferramentas de monitoramento de rede, plataformas de detecção e resposta de endpoint (EDR) e sistemas de gerenciamento de eventos e informações de segurança (SIEM), podem ajudar as equipes de segurança a interceptar ransomwares em tempo real.
- O treinamento dos funcionários em cibersegurança pode ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware.
- A implementação de políticas de controle de acesso, incluindo autenticação multifator, segmentação de rede e medidas similares, pode impedir que o ransomware alcance dados confidenciais. Os controles de gerenciamento de acesso e identidade (IAM) também podem impedir que os criptoworms se espalhem para outros dispositivos na rede.
- Planos formais de resposta a incidentes permitem que as equipes de segurança interceptem e corrijam violações em menos tempo. O relatório do custo das violações de dados constatou que as organizações com planos formais e equipes dedicadas de resposta a incidentes identificam violações 54 dias mais rápido do que as organizações que não têm nenhum dos dois. Esse tempo de detecção mais rápido reduz os custos de remediação, economizando às organizações uma média de US$ 1,49 milhão por violação.
Embora as ferramentas de descriptografia para algumas variantes de ransomware estejam disponíveis publicamente por meio de projetos como No More Ransom2, a remediação de uma infecção ativa por ransomware geralmente requer uma abordagem multifacetada.
Consulte o Guia definitivo sobre ransomware da IBM Security para obter um exemplo de plano de resposta a incidentes de ransomware modelado com base no ciclo de vida de resposta a incidentes do Instituto Nacional de Padrões e Tecnologia (NIST).
1989: o primeiro ransomware documentado, conhecido como "AIDS Trojan" ou ataque "P.C. Cyborg", é distribuído por meio de disquetes. Ele oculta os diretórios de arquivos no computador da vítima e exige US$ 189 para desocultá-los. Como esse malware funciona criptografando os nomes dos arquivos em vez dos arquivos em si, é fácil para os usuários reverterem os danos sem pagar o resgate.
1996: ao analisar o AIDS Trojan, os cientistas da computação Adam L. Young e Moti Yung alertam sobre futuras formas de malware que poderiam usar uma criptografia mais sofisticada para manter os dados confidenciais reféns.
2005: após relativamente poucos ataques de ransomware no início da década de 2000, começa um aumento de infecções, com foco na Rússia e na Europa Oriental. Aparecem as primeiras variantes que utilizam criptografia assimétrica. À medida que novos ransomwares oferecem formas mais eficazes de extorquir dinheiro, mais cibercriminosos começam a disseminar ransomware em todo o mundo.
2009: A introdução das criptomoedas, especialmente o Bitcoin, oferece aos cibercriminosos uma maneira de receber pagamentos de resgate não rastreáveis, impulsionando a próxima onda de atividade de ransomware.
2013: a era moderna do ransomware começa com o CryptoLocker inaugurando a onda atual de ataques de ransomware baseados em criptografia altamente sofisticados, que solicitam pagamento em criptomoedas.
2015: A variante do ransomware Tox introduz o modelo de ransomware como serviço (RaaS).
2017: Aparece o WannaCry, o primeiro criptoworm autorreplicante amplamente usado.
2018: Ryuk populariza a caça de grandes alvos de ransomware.
2019: Ataques de ransomware de dupla e tripla extorsão se tornam mais populares. Quase todos os incidentes de ransomware aos quais a equipe de resposta a incidentes do IBM Security X-Force respondeu desde 2019 envolveram dupla extorsão.
2022: O sequestro de thread, no qual os cibercriminosos se inserem nas conversas on-line legítimas dos alvos para espalhar malware, surge como um vetor de ransomware proeminente.
2023: À medida que as defesas contra ransomware melhoram, muitas gangues de ransomware começam a expandir seus arsenais e a complementar seus ransomwares com novas táticas de extorsão. Em particular, gangues como LockBit e alguns remanescentes da Conti começam a usar um malware infostealer que lhes permite roubar dados confidenciais e mantê-los como reféns sem a necessidade de bloquear os sistemas das vítimas.
Soluções relacionadas
Impeça que o ransomware interrompa a continuidade dos negócios e recupere-se rapidamente quando ocorrerem ataques para minimizar o impacto das ameaças de ransomware.
A próxima geração do FlashCore Module 4 (FCM4) oferece armazenamento de dados resiliente em caso de ciberataque. Monitore continuamente as estatísticas coletadas de cada I/O usando modelos de aprendizado de máquina para detectar anomalias como ransomware em menos de um minuto.
Proteja proativamente os sistemas de armazenamento primário e secundário da sua organização contra ransomware, erro humano, desastres naturais, sabotagem, falhas de hardware e outros riscos de perda de dados.
Recursos
Inscreva-se no webinar para saber como você pode combinar o poder do IBM Storage Defender e do IBM FlashSystem para combater o ransomware.
Assista à gravação sob demanda para aprender as etapas práticas que você pode seguir para criar uma operação mais resiliente e proteger seus dados.
Obtenha insights práticos que ajudam você a entender como os agentes de ameaças estão realizando ataques e como você pode proteger proativamente sua organização.
Notas de rodapé
Todos os links levam para fora do site ibm.com
1 New Ransomware Reporting Requirements Kick in as Victims Increasingly Avoid Paying. Coveware. 26 de janeiro de 2024.
2 Ferramentas de descriptografia. No More Ransom.