Ransomware: psicologia e métodos utilizados

Especialistas da Trend Micro revelam que operação do malware evoluiu nos últimos anos e hoje conhece os pontos fracos de seus alvos através de engenharia social

Compartilhar:

No fim de 2015, as Previsões de Segurança da Trend Micro nomearam 2016 como o ano das extorsões online, afirmando: “em 2016, as ameaças online evoluirão contando mais com o aprimoramento da psicologia por trás de cada golpe do que com melhorar os aspectos técnicos da operação. Os agressores continuarão a usar o medo como o principal componente do golpe, pois ele já se mostrou eficaz no passado”.

A psicologia por trás do ransomware

Dividido em etapas, a operação de ransomware é simples: basta encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou arquivos críticos dentro dele e forçar a vítima a pagar o resgate. Ao longo dos anos, o ransomware se desenvolveu tremendamente se tornando uma ameaça cibernética eficaz que não só assusta suas possíveis vítimas com uma tela bloqueada, mas como um malware que conhece os pontos fracos de seus alvos.

As primeiras variantes do ransomware se aproveitaram do medo de suas vítimas por meio de Cavalos de Troia (como o Reveton), fingindo ser alertas legítimos de violações de leis federais para enganar os usuários, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware, que sequestrava os dados das vítimas.

Os cibercriminosos que usam o ransomware dobram esforços para expandir efetivamente seu alcance. Iscas de engenharia social continuam a funcionar, mas agora em um escopo maior.

Em maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de e-mails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de e-mail “amazon.com” e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.

No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.

Forçando pagamentos

Para o pagamento do resgate, os desenvolvedores de ransomware criaram uma série de maneiras para convencer os usuários de que pagar o resgate é a melhor opção.

Em abril, surgiu um novo tipo de ransomware chamado Jigsaw, que tem esse nome inspirado na franquia de filmes, Saw ou Jogos Mortais em português. O método de extorsão envolve um cronômetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$150 – e assim recuperar o acesso aos arquivos criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de arquivos criptografados é apagado.

O Jigsaw mostra a direção que os chantagistas estão tomando hoje em dia – um ataque claro e evidente contra a psique da vítima.

Alvos maiores

Nos últimos meses, vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de usuários individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como ele pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias.

Quando surgiu a notícia de uma “situação de emergência interna” que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC), o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas.

A rede e sistemas de computador do hospital, inclusive os que envolviam tomografias computadorizadas, exames de laboratório, farmacêuticos e documentação ficaram fora do ar por mais de uma semana, fazendo com que os funcionários voltassem ao uso de papel e caneta. Esse incidente também causou impacto nos sistemas de salas de emergência, obrigando-os a transferir pacientes para outros hospitais.

Segundo a Trend Micro até hoje, 50 novas famílias de ransomware já foram vistas apenas nos primeiros cinco meses de 2016. O mais alarmante é o fato de que a ameaça ainda continua crescendo – em número e nível de eficácia.

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365