O ransomware é um tipo de malware que bloqueia os dados ou dispositivos de uma vítima, mantendo-os reféns. Os invasores ameaçam mantê-los bloqueados até que a vítima pague um resgate ao invasor.

De acordo com o IBM Security X-Force Threat Intelligence Index de 2024, os ataques de ransomware representaram 17% de todos os ciberataques em 2023.

Os primeiros ataques de ransomware simplesmente exigiam um resgate em troca da chave de criptografia necessária para recuperar o acesso aos dados afetados ou o uso do dispositivo infectado. Ao fazer backups de dados regulares ou contínuos, uma organização pode limitar os custos desses tipos de ataques de ransomware e, muitas vezes, evitar pagar a exigência de resgate.

Mas, nos últimos anos, os ataques de ransomware evoluíram para incluir ataques de extorsão dupla e tripla, que aumentam consideravelmente os riscos, mesmo para vítimas que mantêm rigorosamente os backups de dados ou pagam a exigência inicial de resgate. Os ataques de extorsão dupla adicionam a ameaça de roubar os dados da vítima e vazá-los on-line; além disso, os ataques de extorsão tripla ameaçam usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.

O X-Force Threat Intelligence Index de 2024 descobriu que a participação do ransomware em incidentes de segurança cibernética corporativo diminuiu 11,5%, provavelmente porque os defensores tiveram mais sucesso na detecção e prevenção de ataques de ransomware.  

Vítimas e negociadores de ransomware relutam em divulgar valores de pagamentos de resgates. No entanto, de acordo com o Guia definitivo do ransomware, as exigências de resgate cresceram para valores de sete e oito dígitos. E os pagamentos de resgate são apenas uma parte do custo total de uma infecção por ransomware. De acordo com o relatório da IBM Cost of a Data Breach 2023 (O custo de uma violação de dados 2023), o custo médio de uma violação de dados causada por um ataque de ransomware, não incluindo o pagamento de resgate, era de US$ 5,13 milhões. 

Existem dois tipos gerais de ransomware.

O tipo mais comum, chamado de ransomware criptografado ou ransomware cripto, mantém os dados da vítima como reféns criptografando-os. Em seguida, o invasor exige um resgate em troca do fornecimento da chave de criptografia necessária para descriptografar os dados.

A forma menos comum de ransomware, chamada de ransomware não criptografado ou ransomware de bloqueio de tela, bloqueia todo o dispositivo da vítima, geralmente bloqueando o acesso ao sistema operacional. Em vez de ser inicializado como de costume, o dispositivo exibe uma tela que faz a exigência de resgate.

Esses dois tipos podem ser divididos nas seguintes subcategorias:

• Leakware/doxware é um ransomware que rouba, ou exfiltra, dados confidenciais e ameaça publicá-los. Enquanto formas anteriores de leakware ou doxware muitas vezes roubavam dados sem criptografá-los, as variantes atuais geralmente fazem as duas coisas.
  
  
• O ransomware móvel inclui todos os ransomwares que afetam dispositivos móveis. Entregue por meio de aplicativos maliciosos ou download direto, o ransomware móvel geralmente é um ransomware não criptografado, porque os backups automatizados de dados na nuvem, padrão em muitos dispositivos móveis, facilitam a reversão de ataques de criptografia.
  
  
• Wipers (ransomware destrutivo) ameaça destruir os dados se o resgate não for pago, exceto nos casos em que o ransomware destrói os dados mesmo que o resgate seja pago. Suspeita-se que esse último tipo de wiper seja implantado por agentes ou hacktivistas de estados-nação, em vez de cibercriminosos comuns.
  
  
• Scareware é exatamente o que parece: ransomware que tenta assustar os usuários e fazê-los pagar um resgate. O scareware pode se passar por uma mensagem de uma agência de segurança pública, acusando a vítima de um crime e exigindo uma multa; pode falsificar um alerta legítimo de infecção por vírus, incentivando a vítima a comprar um software antivírus ou antimalware. Às vezes, o scareware é um ransomware, criptografando os dados ou bloqueando o dispositivo; em outros casos, é o vetor do ransomware, que não criptografa nada, mas coage a vítima a baixar o ransomware.

Os ataques de ransomware podem usar vários métodos, ou vetores, para infectar uma rede ou um dispositivo. Alguns dos mais proeminentes vetores de infecção por ransomware incluem:

• E-mails de phishing e outros ataques de engenharia social: e-mails de phishing manipulam os usuários para baixar e executar um anexo malicioso (que contém o ransomware disfarçado como um .pdf de aparência inofensiva, documento do Microsoft Word ou outro arquivo) ou para visitar um site malicioso que passe o ransomware pelo navegador do usuário. No Cyber Resilient Organization Study 2021 da IBM, phishing e outras táticas de engenharia social causaram 45% de todos os ataques de ransomware relatados pelos participantes da pesquisa, tornando-os os mais comuns de todos os vetores de ataques de ransomware.
  
  
• Vulnerabilidades do sistema operacional e do software: os cibercriminosos geralmente exploram as vulnerabilidades existentes para injetar código malicioso em um dispositivo ou uma rede. As vulnerabilidades de dia zero, que são vulnerabilidades desconhecidas pela comunidade de segurança ou identificadas, mas ainda não corrigidas, representam uma ameaça específica. Algumas quadrilhas de ransomware compram informações sobre falhas de dia zero de outros hackers para planejar seus ataques. Os hackers também usaram efetivamente vulnerabilidades corrigidas como vetores de ataque, como foi o caso do ataque WannaCry de 2017, discutido abaixo.
  
  
• Roubo de credenciais: os cibercriminosos podem roubar credenciais de usuários autorizados, comprá-las na dark web ou quebrá-las por meio da força bruta. Eles podem usar essas credenciais para fazer login em uma rede ou um computador e implementar o ransomware diretamente. O Remote Desktop Protocol (RDP), um protocolo proprietário desenvolvido pela Microsoft para permitir que os usuários acessem um computador remotamente, é um alvo popular de roubo de credenciais entre os invasores de ransomware.
  
  
• Outro malware: os hackers costumam usar o malware desenvolvido para outros ataques a fim de entregar um ransomware a um dispositivo. O cavalo-de-troia Trickbot, por exemplo, originalmente projetado para roubar credenciais bancárias, foi usado para espalhar a variante de ransomware Conti em 2021.
  
  
• Downloads drive-by: os hackers podem usar sites para transferir ransomware para dispositivos sem o conhecimento dos usuários. Os kits de exploração usam sites comprometidos para verificar os navegadores dos visitantes em busca de vulnerabilidades de aplicativos da web que eles podem usar para injetar ransomware no dispositivo. Malvertising (anúncios digitais legítimos que foram comprometidos por hackers) podem transmitir ransomware para dispositivos, mesmo que o usuário não clique no anúncio.

Os cibercriminosos não precisam necessariamente desenvolver seu próprio ransomware para explorar esses vetores. Alguns desenvolvedores de ransomware compartilham seu código de malware com cibercriminosos por meio de acordos de ransomware como serviço (RaaS). O cibercriminoso, ou "afiliado", usa o código para realizar um ataque e, em seguida, divide o pagamento do resgate com o desenvolvedor. É uma relação mutuamente benéfica: os afiliados podem lucrar com a extorsão sem ter que desenvolver seu próprio malware, e os desenvolvedores podem aumentar seus lucros sem lançar ciberataques adicionais.

Os distribuidores de ransomware podem vender ransomware por meio de mercados digitais ou recrutar afiliados diretamente por fóruns on-line ou caminhos semelhantes. Grandes grupos de ransomware investiram somas significativas em dinheiro para atrair afiliados. O grupo REvil, por exemplo, gastou US$ 1 milhão como parte de uma unidade de recrutamento em outubro de 2020.

Desde 2020, pesquisadores de segurança cibernética identificaram mais de 130 famílias ou variantes distintas e ativas de ransomware: cepas exclusivas de ransomware com suas próprias assinaturas de código e funções. 

Entre as muitas variantes de ransomware que circularam ao longo dos anos, várias cepas são especialmente notáveis na extensão de sua destruição, na forma como influenciaram o desenvolvimento de ransomware ou nas ameaças que ainda representam hoje.
 

CryptoLocker

Aparecendo pela primeira vez em setembro de 2013, o CryptoLocker é amplamente creditado como o pontapé inicial da era moderna do ransomware. Espalhado usando uma botnet (uma rede de computadores interceptados), o CryptoLocker foi uma das primeiras famílias de ransomware a criptografar fortemente os arquivos dos usuários. Extorquiu cerca de US$ 3 milhões antes que um esforço internacional de segurança pública o encerrasse em 2014. O sucesso do CryptoLocker gerou inúmeros imitadores e abriu caminho para variantes como o WannaCry, Ryuk e Petya (descritos abaixo).
 

WannaCry

O primeiro cryptoworm (ransomware que pode se espalhar para outros dispositivos em uma rede) de alto perfil, o WannaCry atacou mais de 200.000 computadores (em 150 países) que os administradores não corrigiram para a vulnerabilidade EternalBlue do Microsoft Windows. Além de criptografar dados sensíveis, o ransomware WannaCry ameaçou excluir arquivos se o pagamento não fosse recebido dentro de sete dias. Ele continua sendo um dos maiores ataques de ransomware até o momento, com custos estimados de até US$ 4 bilhões.
 

Petya e NotPetya

Ao contrário de outros ransomware cripto, o Petya criptografa a tabela do sistema de arquivos em vez de arquivos individuais, tornando o computador infectado incapaz de iniciar o Windows. Uma versão fortemente modificada, NotPetya, foi usada para realizar um ciberataque em larga escala, principalmente contra a Ucrânia, em 2017. O NotPetya era um limpador incapaz de desbloquear sistemas mesmo após o pagamento do resgate.
 

Ryuk

Visto pela primeira vez em 2018, o Ryuk popularizou ataques de "ransomware big-game" contra alvos específicos de alto valor, com exigências de resgate em média de mais de US$ 1 milhão.O Ryuk pode localizar e desativar arquivos de backup e recursos de restauração do sistema; uma nova cepa com recursos de cryptoworm foi descoberta em 2021.
 

DarkSide

Executado por um grupo suspeito de estar operando fora da Rússia, o DarkSide é a variante de ransomware que atacou o oleoduto Colonial Pipeline dos EUA em 7 de maio de 2021, considerado o pior ataque cibernético à infraestrutura crítica dos EUA até o momento. Como resultado, o oleoduto, que fornece 45% do combustível da costa leste dos EUA, ficou temporariamente fora de operação. Além de lançar ataques diretos, o grupo DarkSide também licencia seu ransomware para afiliados por meio de acordos de RaaS.
 

Locky

O Locky é um ransomware criptografado com um método distinto de infecção. Ele usa macros ocultas em anexos de e-mail (arquivos do Microsoft Word) disfarçados como faturas legítimas. Quando um usuário baixa e abre o documento do Microsoft Word, macros maliciosas fazem o download secretamente da carga útil do ransomware para o dispositivo do usuário.
 

REvil/Sodinokibi

O REvil, também conhecido como Sodin ou Sodinokibi, ajudou a popularizar a abordagem RaaS para distribuição de ransomware. Conhecido pelo uso em caçadas e ataques de dupla extorsão a alvos grandes, o REvil esteve por trás dos ataques de 2021 contra a famosa JBS USA e a Kaseya Limited. A JBS pagou um resgate de US$ 11 milhões após toda a operação de processamento de carne bovina dos EUA ter sido interrompida, e mais de 1.000 dos clientes de software da Kaseya foram afetados por um tempo de inatividade significativo. O Serviço Federal de Segurança Russo informou que desmantelou o REvil e processou vários de seus membros no início de 2022.

Até 2022, a maioria das vítimas de ransomware atendia às exigências de resgate de seus invasores. Por exemplo, no Cyber Resilient Organization Study 2021 da IBM, 61% das empresas participantes que sofreram um ataque de ransomware nos dois anos anteriores ao estudo disseram que pagaram um resgate.

Mas relatórios recentes indicam uma mudança em 2022. A empresa de resposta a incidentes de extorsão cibernética Coveware divulgou descobertas de que somente 41% das vítimas de ransomware de 2022 pagaram um resgate, em comparação com 51% em 2021 e 70% em 2020. E a Chainanalysis, provedora de plataforma de dados blockchain, relatou que os invasores de ransomware extorquiram quase 40% menos dinheiro das vítimas em 2022 do que em 2021 (link fora de ibm.com). Especialistas apontam a melhor preparação para cibercrimes (incluindo backups de dados) e maior investimento em tecnologia de prevenção e detecção de ameaças como possíveis fatores por trás dessa reversão.
 

Orientação da segurança pública

As agências federais de segurança pública dos EUA desencorajam unanimemente as vítimas de ransomware a pagar exigências de resgate. De acordo com a National Cyber Investigative Joint Task Force (NCIJTF), uma coalizão de 20 agências federais dos EUA parceiras encarregadas de investigar ameaças cibernéticas:

"O FBI não incentiva o pagamento de um resgate a agentes criminais. O pagamento de um resgate pode encorajar os adversários a visar organizações adicionais, incentivar outros agentes criminais a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas. O pagamento do resgate também não garante que os arquivos da vítima sejam recuperados."

As agências de segurança pública recomendam que as vítimas de ransomware relatem os ataques às autoridades competentes, como o Internet Crime Complaint Center (IC3) do FBI, antes de pagar um resgate. Algumas vítimas de ataques de ransomware podem ser legalmente obrigadas a relatar infecções por ransomware, independentemente de o resgate ser pago ou não. Por exemplo, a conformidade com HIPAA geralmente exige que entidades de assistência médica relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos.

Sob certas condições, pagar um resgate pode ser ilegal. De acordo com um comunicado de 2020 do Gabinete de Controle de Ativos Estrangeiros (Office of Foreign Assets Control - OFAC) do Departamento do Tesouro dos EUA, pagar um resgate a invasores de países sob sanções econômicas dos EUA (como a Rússia, a Coreia do Norte ou o Irã) seria uma violação dos regulamentos do OFAC e poderia resultar em penalidades civis, multas ou acusações criminais.

Para se defender contra ameaças de ransomware, agências federais como a CISA, a NCIJFT e o Serviço Secreto dos EUA recomendam que as organizações tomem certas medidas de precaução, como:

• Manter backups de dados sensíveis e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede.
  
  
• Aplicar correções regularmente para ajudar a impedir ataques de ransomware que exploram vulnerabilidades do software e do sistema operacional.
  
  
• Atualizar ferramentas de segurança cibernética incluindo software antimalware e antivírus, firewalls, ferramentas de monitoramento de rede e gateways da web seguros, bem como soluções de segurança cibernética corporativa, como Orquestração, automação e resposta (SOAR), Detecção e resposta de endpoint (EDR), Gerenciamento de informações de segurança e eventos (SIEM) e Detecção e resposta estendidas (XDR), que ajudam as equipes de segurança a detectar e responder a ransomware em tempo real.
  
  
• Treinar os funcionários em cibersegurança para ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware
  
  
• Implementar políticas de controle de acesso, incluindo autenticação multifatorial, arquitetura de confiança zero, segmentação de rede e medidas semelhantes que podem impedir que o ransomware atinja dados particularmente sensíveis e impedir que criptoworms se espalhem para outros dispositivos na rede.

Embora as ferramentas de descriptografia para algumas variantes de ransomware estejam disponíveis publicamente por meio de projetos como No More Ransom, a correção de uma infecção ativa de ransomware geralmente requer uma abordagem multifacetada. Consulte o Guia Definitivo do Ransomware da IBM Security para ver um exemplo de plano de resposta a incidentes de ransomware modelado com base no ciclo de vida de resposta a incidentes do Instituto Nacional de Padrões e Tecnologia (NIST).

1989: o primeiro ataque de ransomware documentado, conhecido como AIDS Trojan ou "ataque P.C. Cyborg", foi distribuído por meio de disquetes. Ele ocultava os diretórios de arquivos no computador da vítima e exigia US$ 189 para desocultá-los. Mas, como criptografava os nomes dos arquivos em vez de os próprios arquivos, era fácil para os usuários reverter o dano sem pagar um resgate.

1996: ao analisar as falhas do vírus AIDS Trojan, os cientistas da computação Adam L. Young e Moti Yung alertaram sobre futuras formas de malware que poderiam usar criptografia de chave pública mais sofisticada para manter dados sensíveis como reféns. 

2005: após relativamente poucos ataques de ransomware no início da década de 2000, começa um aumento de infecções, centralizado na Rússia e na Europa Oriental. Aparecem as primeiras variantes que utilizam criptografia assimétrica. À medida que novos ransomwares ofereciam formas mais eficazes de extorquir dinheiro, mais cibercriminosos começaram a disseminar ransomware em todo o mundo.

2009: a introdução das criptomoedas, especialmente o Bitcoin, oferece aos criminosos cibernéticos uma maneira de receber pagamentos de resgate não rastreáveis, impulsionando a próxima disparada na atividade de ransomware.

2013: a era moderna do ransomware começa com o CryptoLocker inaugurando a onda atual de ataques de ransomware baseados em criptografia altamente sofisticados, que solicitam pagamento em criptomoedas.

2015: a variante do ransomware Tox introduz o modelo de ransomware-as-a-service (RaaS).

2017: aparece o WannaCry, o primeiro criptoworm autorreplicante amplamente usado.

2018: o Ryuk popularizou a caça de grandes alvos com ransomware.

2019: os ataques de ransomware de extorsão dupla e tripla começam a aumentar. Quase todos os incidentes de ransomware aos quais a equipe de resposta a incidentes do IBM Security X-Force respondeu desde 2019 envolveram dupla extorsão.

2022: sequestro de encadeamentos, no qual os cibercriminosos se inserem nas conversas on-line dos alvos, surge como um importante vetor de ransomware.