Compartilhe esta publicação
O que é e como funciona o Ransomware
Um ransomware nada mais é que um software malicioso utilizado na invasão de sistemas com o intuito de roubar ou criptografar dados. Através desse malware, hackers podem sequestrar um sistema e fazer com que o mesmo exiba um pedido de resgate no monitor, configurando um crime de extorsão.
Os ransomwares tem se tornado uma verdadeira dor de cabeça para os profissionais da segurança digital. Esse tipo de malware atualmente evoluiu para uma das maiores armas para grupos de hackers e cibercriminosos — Um exemplo disso pode ser observado no ataque do ransomware WannaCry, ocorrido em 2017 onde, segundo autoridades europeias, mais de 200 mil máquinas foram afetadas ao redor do mundo.
Conteúdo do artigo:
Como um sistema é afetado
A evolução dos ransomwares
Ransomware-as-a-service
Como se proteger
Como um sistema é afetado
Apesar do grande estrago causado por esses Trojans, eles não são todo o problema, mas sim o produto final. A instalação de um ransomware em um sistema é uma das últimas etapas do processo de invasão. Inicialmente, os hackers buscam falhas já existentes no sistema — diversos tipos de vulnerabilidade podem ser exploradas, tais como: uma rede VPN desprotegida; sistema com RDP exposto ou até mesmo por via de engenharia social.
Apesar de menos prático que as outras opções, a engenharia social certamente é o método mais eficaz de invasão. Graças ao grande volume de informação presente na internet, as pessoas acabam negligenciando os próprios dados, o que abre brechas para cibercriminosos. Além disso, a falta de conhecimento ou ingenuidade são fatores colaborantes para falhas humanas.
Os golpes aplicados em usuários variam. O hacker pode enviar um e-mail contendo um anexo malicioso e dizer que é apenas um vídeo inocente ou artigo de interesse ao leitor. Um usuário desatento pode não desconfiar da origem ou usar um antivírus para escanear o anexo e o abrir, criando uma brecha para invasões e instalações de vírus no dispositivo.
Uma vez que o sistema foi invadido, os hackers podem instalar ransomwares livremente. Por conta disso, nem sempre um grande investimento em antivírus é o suficiente para proteger o sistema, afinal, por mais que o software tenha a tecnologia necessária para bloquear o ransomware, o hacker pode facilmente desativar o programa antes da instalação do malware.
A evolução dos ransomware
Malwares não são problemas atuais. O primeiro ransomware surgiu em meados de 1989. Criado por Joseph L. Popp, o vírus Trojan AIDS foi o primeiro a executar um sequestro de sistema. A forma como o Trojan AIDS se espalhou é considerada extremamente arcaica para os tempos de hoje. Na ocasião, Joseph havia infectado diversos disquetes com o programa e os enviou para usuários interessados em informações sobre a AIDS.
Graças à sua criptografia simétrica, o Trojan AIDS era um problema que podia ser facilmente contornado. Quando comparado aos ransomwares atuais, e até mesmo aos que vieram posteriormente, a criação de Joseph L. Popp parece “brincadeira de adolescente”.
A cada ano, malwares mais poderosos são desenvolvidos e, paralelamente, hackers estudam e desenvolvem novas formas de invadir e infectar sistemas. Os ransomwares evoluíram muito nas últimas três décadas, não apenas em sua tecnologia mas também na visão dos cibercriminosos. Hoje, existe um verdadeiro mercado nesse segmento, chamado ransomware-as-a-service (RaaS).
Ransomware-as-a-service
O RaaS é uma subdivisão do malware-as-a-service (MaaS). Desenvolvedores criam e alugam estruturas prontas de ransomwares para que invasores que não possuem os conhecimentos técnicos necessários possam executar ataques. Os vírus comercializados normalmente são cryptomalwares que, além de exigir um resgate, também criptografam dados das vítimas.
Os ransomwares alugados podem ser de dois tipos: automatizados e direcionados. Os malwares automatizados são criados para atingir o maior número possível de vítimas, sem preferência de empresa ou grupo. Já os ransomwares direcionados são criados sob encomenda a fim de atingir um sistema específico.
Como se proteger
Antes de investir em antivírus e softwares eficientes para combater malwares, é necessário investir em conhecimento. O Cybersecurity Awareness é uma estratégia que visa reduzir os riscos de engenharia social na segurança digital. Empresas normalmente estão sob um número maior de riscos digitais graças ao grande volume de dados que manuseiam. Por conta disso, o investimento em treinamento para funcionários é algo que, a longo prazo, proporciona uma segurança maior para a corporação.
Saber como lidar com phishings, fazer reconhecimento de e-mails suspeitos e evitar links estranhos são informações essenciais no Cybersecurity Awareness. Além do treinamento, existem ferramentas de awareness para usuários leigos em segurança digital, os recursos são simplificados e oferecem a mesma proteção aos usuários.
Somado ao treinamento, toda empresa deve possuir um time especializado em segurança digital. Um ataque de ransomware pode ocorrer a qualquer momento, nessa condição, um time de resposta ao incidente é essencial para que grandes perdas sejam evitadas.
Equipes treinadas para lidar com ataques cibernéticos podem resolver invasões antes que gerem danos irrecuperáveis para a organização, também reduzem a necessidade de atender as exigências de grupos de hackers e pagar pelos resgates exigidos.
Red Team e Blue Team
O Red Team (time vermelho) e o Blue Team (time azul) são a principal linha de frente na segurança digital de uma empresa. Apesar de ambos exercerem a função de proteger determinado espaço digital, cada equipe possui sua forma de se preparar e lidar com ataques de ransomwares.
O Red Team garante que a defesa de um sistema é suficiente para lidar com um ataque. Através de testes controlados, a equipe vermelha busca diversas vulnerabilidades de um sistema e testa se o mesmo pode lidar com diferentes tipos de malwares. Os resultados dos testes e as vulnerabilidades identificadas são repassadas para o Blue Team.
Já a equipe azul é focada na resposta ao incidente. Apesar de a equipe também estudar e buscar possíveis falhas no sistema, é o blue team que fica responsável por agir quando ocorre uma violação no sistema. Em um ataque de ransomware, é importante que o blue team esteja preparado para reconhecer o malware e agir rapidamente.
O que achou deste conteúdo? Leia mais artigos como este clicando aqui!
Este artigo foi escrito por Gabriel Pereira e publicado originalmente em Prensa.li.