De acordo com a Trend Micro, apesar das empresas se esforçarem para aprimorar suas capacidades de prevenção de infecções, os ataques ransomware são persistentes. É importante, portanto, que as empresas não trabalhem somente de forma reativa com relação às ameaças atuais, mas que se protejam contra ameaças futuras.
A maior parte das famílias de ransomware funcionam de forma similar às novas amostras descobertas atualmente – após se infiltrar no sistema da vítima, arquivos e dados importantes são criptografados, impedindo o acesso de qualquer um com exceção do hacker, que possui um código de descriptografia. Os atacantes exigem então um resgate – tipicamente na moeda não rastreável Bitcoin – para devolver os arquivos intactos.
Resgate: nem sempre o melhor caminho
Ainda segundo a Trend Micro, os resultados de um ataque podem variar: algumas organizações que pagaram o resgate, receberam o código de descriptografia e voltaram a ter acesso aos seus arquivos. Outras vítimas não tiveram tanta sorte e nunca conseguiram recuperar os dados roubados, apesar de pagarem o resgate.
Inicialmente, o ransomware focava em vítimas na Rússia, em 2005 e 2006. Em 2012, começaram a aparecer infecções em outros países europeus. Mesmo assim, os atacantes tiveram o cuidado de se disfarçar, exigindo resgate por meio de métodos de pagamento como o paysafecard e o MoneyPak para ocultar suas atividades maliciosas.
De acordo com a empresa de segurança, alguns ataques anteriores de ransomware não passavam de fraudes, aproveitando alertas convincentes, mas falsos para incentivar os usuários a pagar o resgate. Outras amostras utilizaram bloqueios de tela para impedir que os usuários fossem além da janela de notificação.
Linha do tempo
Em 2013, surgiram amostras de “Crypto-Ransomware”, incluindo o agora famoso CryptoLocker. Essas infecções tornaram-se cada vez mais perigosas, já que, além dos dados serem criptografados e o acesso bloqueado, essas amostras também conseguiam excluir arquivos criptografados após algum período de tempo se o resgate não fosse pago.
As infecções de ransomware atingiram um pico em 2016, ganhando o apelido de “o ano do ransomware”. Em 2015, a Trend Micro descobriu 29 famílias diferentes de ransomware, e este número atingiu 247 famílias em 2016, representando um aumento surpreendente de 752%.
No geral, os atacantes lucraram bastante a partir das infecções do ransomware, com os hackers arrecadando cerca de US$ 1 bilhão. Boa parte disso foi resultado de um ataque contra grandes empresas sem backups de dados, tornando o resgate exigido mais bem-sucedido para os cibercriminosos.
Ransomware em 2017
Esses ataques estão no caminho certo para bater mais um recorde este ano, os ataques de ransomware tiveram um aumento de 250% nos primeiros meses de 2017, com muitas infecções nos EUA.
Boa parte desse aumento se deve a descoberta de novos ransomware, tais como WannaCry e o Petya, que atualmente impacta empresas, organizações governamentais e prestadores de serviços públicos na Europa.
Além disso, uma nova família denominada “NotPetya” informou ao final de junho de 2017 que outro novo ransomware – inicialmente considerado uma variante de Petya – estava impactando os usuários, potencializando o mesmo exploit EternalBlue utilizado em infecções do WannaCry.
Qual será o caminho dos ransomware daqui para frente?
A Trend Micro previu que haverá uma evolução na estratégia de ransomware no futuro próximo, incluindo um aumento no número de ataques contra sistemas IoT.
Além disso, o Relatório Mundial de Previsões de Saúde da IDC observou que, até 2018, o número de ataques de ransomware no setor de saúde deve dobrar. Isso se deve ao fato dos hackers estarem se concentrando mais na área de saúde e outros prestadores de serviço dentro dessa indústria com acesso a dados sensíveis de pacientes e outros dados valiosos.
“O relatório descreve o aumento das ameaças e da maturidade das técnicas de ransomware como a criação de uma ‘ mentalidade de corrida do ouro’ entre na comunidade de cibercriminosos, conforme mais e mais criminosos buscam lucrar nessa área”, escreveu o colaborador da Converge, Shelly Kramer.
Conforme os ransomware continuam a se tornar mais avançados, os esforços da polícia estão cada vez melhores também. A polícia está colaborando com outras organizações como a Cyber Threat Alliance e No More Ransomware para ajudar a melhorar a capacidade de identificar as fontes das poderosas famílias de ransomware e evitar novos ataques.
Segundo a Trend Micro, em termos de potencial, [as amostras de ransomware] podem evoluir para malwares que desabilitam toda a infraestrutura (crítica não só para as operações de uma empresa, mas também para cidades ou mesmo nações) até o resgate ser pago.
Proteção na Era do Ransomware
Mesmo que os ataques de ransomware continuem a aumentar em complexidade, existem algumas estratégias importantes que as empresas devem usar para proteger melhor seus ativos com dados sensíveis. Isto inclui:
- Ensinar os funcionários sobre os riscos do ransomware, como uma infecção pode ocorrer e o que fazer quando se suspeita de uma atividade maliciosa;
- Garantir que todos as correções de segurança sejam aplicadas o mais rápido possível, minimizando as vulnerabilidades;
- Limitar o acesso à dados confidenciais;
- Seguir um cronograma robusto de backup que inclui três cópias de dados sensíveis em pelo menos dois formatos diferentes, um dos quais está localizado fora da rede interna da empresa.
