Ransomware é um tipo de malware (software malicioso) que tem como objetivo bloquear o acesso a um sistema ou criptografar arquivos, exigindo um resgate (ou “ransom”) para restaurar o acesso ou descriptografar os arquivos. É uma forma de ataque cibernético que visa extorquir dinheiro das vítimas.

Normalmente, o ransomware se espalha por meio de técnicas como e-mails de phishing, downloads de arquivos infectados, sites comprometidos ou exploração de vulnerabilidades em sistemas. Uma vez que o ransomware infecta um sistema, ele criptografa os arquivos importantes, como documentos, fotos e vídeos, tornando-os inacessíveis. Em seguida, exibe uma mensagem na tela da vítima informando que os arquivos foram bloqueados e que é necessário pagar um resgate em troca da chave de descriptografia ou da restauração do acesso.

Os pagamentos normalmente são solicitados em criptomoedas, como Bitcoin, para dificultar a rastreabilidade das transações. No entanto, não há garantia de que o criminoso cumprirá sua promessa após receber o resgate. Além disso, pagar o resgate incentiva e financia esse tipo de atividade criminosa.

Para proteger-se contra ransomware, é importante adotar medidas de segurança cibernética, como manter o software atualizado, utilizar programas antivírus e firewall, evitar clicar em links ou baixar anexos de e-mails suspeitos e fazer backups regulares dos arquivos importantes em um local seguro. Em caso de infecção, é recomendável não pagar o resgate e buscar a assistência de profissionais de segurança cibernética para avaliar as opções de recuperação de dados.

AIDS
AIDS (também conhecido como “PC Cyborg”) foi um dos primeiros casos documentados de ransomware na história. Esse ransomware específico apareceu pela primeira vez em 1989 e foi desenvolvido por um programador filipino chamado Joseph L. Popp.

O AIDS ransomware era distribuído em disquetes infectados e, quando um usuário inseria o disquete em seu computador, o malware era executado. O ransomware infectava os computadores MS-DOS e encriptava os nomes dos arquivos no diretório raiz do disco rígido. Em seguida, exibia uma mensagem na tela exigindo um pagamento de US$ 189 para uma conta em um escritório postal em Panama.

A peculiaridade desse ransomware era o fato de que ele não possuía uma funcionalidade de criptografia real. Em vez disso, ele renomeava os arquivos, alterando os primeiros quatro caracteres do nome de cada arquivo para uma sequência aleatória de letras maiúsculas. Como resultado, os arquivos tornavam-se inacessíveis, pois o sistema operacional não conseguia reconhecê-los. No entanto, o processo de “descriptografia” era relativamente simples, pois bastava renomear os arquivos novamente com seus nomes originais.

O AIDS ransomware causou um certo pânico na época, principalmente devido à sua natureza desconhecida e à novidade do conceito de extorsão digital. Embora tenha sido considerado relativamente inofensivo em comparação com os ransomwares modernos, o AIDS ransomware abriu caminho para o desenvolvimento de outros tipos mais sofisticados de ransomware que surgiram posteriormente.

Desde então, os ransomwares evoluíram significativamente em termos de complexidade e capacidade de criptografia, tornando-se uma das ameaças cibernéticas mais prejudiciais e lucrativas.

Maze
O MAZE Group é uma organização criminosa conhecida por desenvolver e distribuir ransomware. Eles surgiram pela primeira vez em maio de 2019 e ficaram notórios por suas táticas agressivas e métodos de extorsão.

O MAZE Group opera por meio de uma abordagem chamada “ransomware-as-a-service” (RaaS), onde fornecem o ransomware como um serviço para outros cibercriminosos. Essa abordagem permite que indivíduos com menos habilidades técnicas realizem ataques de ransomware em troca de uma porcentagem dos resgates obtidos.

O método de ataque do MAZE Group é semelhante a outros ransomwares. Eles infectam redes corporativas ou sistemas individuais usando técnicas como phishing, exploração de vulnerabilidades ou acesso não autorizado a sistemas. Uma vez dentro da rede, o MAZE Group criptografa os arquivos importantes e exibe uma mensagem de resgate, geralmente ameaçando vazar os dados confidenciais da vítima caso o pagamento não seja realizado.

O MAZE Group ganhou destaque por sua abordagem de dupla extorsão, na qual, além de criptografar os dados, eles também roubam informações confidenciais da rede da vítima antes de criptografá-las. Eles ameaçam publicar os dados roubados, o que pode causar danos significativos à reputação e privacidade das organizações.

Outra característica distintiva do MAZE Group é a criação de sites dedicados, chamados “Maze News”, onde eles publicam informações sobre suas vítimas e os dados roubados, aumentando a pressão sobre as organizações para pagar o resgate.

Embora o MAZE Group tenha alcançado relativo sucesso em seus ataques, as autoridades e as empresas de segurança cibernética têm intensificado os esforços para combater esse grupo e desmantelar suas operações. Em 2020, vários supostos membros do MAZE Group foram presos em uma operação conjunta internacional, demonstrando o compromisso em combater as ameaças representadas por grupos de ransomware.

CryptoLocker
O CryptoLocker foi um dos primeiros e mais notórios tipos de ransomware moderno. Ele surgiu em setembro de 2013 e causou um impacto significativo na época.

O CryptoLocker se espalhava principalmente por meio de campanhas de phishing, onde os usuários recebiam e-mails com anexos maliciosos disfarçados como documentos importantes, como faturas, faturas de serviços públicos ou informações bancárias. Quando os usuários abriam esses anexos, o malware era executado e infectava o computador.

Uma vez infectado, o CryptoLocker começava a criptografar os arquivos do usuário usando criptografia de chave pública, tornando-os inacessíveis. Ele se espalhava rapidamente pela rede, criptografando não apenas os arquivos locais, mas também os compartilhamentos de rede aos quais o computador infectado tinha acesso.

Após a conclusão da criptografia, o CryptoLocker exibia uma mensagem na tela informando que os arquivos haviam sido criptografados e que os usuários deveriam pagar um resgate para obter a chave de descriptografia. O resgate normalmente era exigido em Bitcoins ou outras criptomoedas.

O CryptoLocker foi particularmente eficaz porque utilizava criptografia forte e robusta, tornando a recuperação dos arquivos sem a chave de descriptografia quase impossível na época. Além disso, o resgate exigido era relativamente alto, muitas vezes variando entre centenas ou milhares de dólares.

Embora o CryptoLocker tenha causado enormes prejuízos e estresse para inúmeras vítimas, uma operação coordenada entre várias agências de aplicação da lei e empresas de segurança cibernética conseguiu interromper suas operações em maio de 2014. No entanto, desde então, outros tipos de ransomware surgiram, utilizando técnicas semelhantes ou até mesmo mais avançadas, enfatizando a importância contínua da segurança cibernética e da conscientização sobre ameaças digitais.

WannaCry
O WannaCry foi um ransomware que se espalhou amplamente em maio de 2017, afetando milhares de computadores em todo o mundo. Foi um dos ataques de ransomware mais impactantes e notórios até aquele momento.

O WannaCry se aproveitava de uma vulnerabilidade conhecida como EternalBlue, que explorava uma falha no protocolo SMB (Server Message Block) do Windows. Essa vulnerabilidade havia sido divulgada por um grupo de hackers chamado Shadow Brokers, que alegadamente roubou ferramentas de hacking da Agência de Segurança Nacional dos Estados Unidos (NSA).

Ao infectar um computador, o WannaCry criptografava os arquivos do usuário, tornando-os inacessíveis, e exibia uma mensagem exigindo o pagamento de um resgate em Bitcoin para obter a chave de descriptografia. O ransomware se espalhava rapidamente pela rede, explorando a vulnerabilidade SMB e infectando outros computadores conectados.

O ataque do WannaCry teve um impacto significativo em organizações e instituições em todo o mundo. Hospitais, empresas, instituições governamentais e até mesmo infraestruturas críticas, como sistemas de transporte e energia, foram afetados. Muitos desses sistemas essenciais foram paralisados ou enfrentaram dificuldades operacionais, causando transtornos e prejuízos financeiros.

O WannaCry chamou a atenção para a importância de manter sistemas atualizados com as últimas correções de segurança e patches. A Microsoft, após o ataque, lançou um patch de segurança para corrigir a vulnerabilidade SMB explorada pelo WannaCry, mas muitos sistemas não atualizados permaneceram vulneráveis.

Embora o WannaCry tenha sido devastador, uma ação coordenada de organizações de segurança cibernética, empresas de tecnologia e aplicação da lei permitiu desacelerar o ataque e mitigar seus efeitos. Além disso, a divulgação pública da vulnerabilidade e a conscientização sobre os riscos do ransomware ajudaram a fortalecer as defesas cibernéticas e a prevenir ataques semelhantes no futuro.

Shadow Brokers
O Shadow Brokers é um grupo de hackers que ganhou notoriedade em 2016, quando começou a vazar uma série de ferramentas e exploits de hacking que alegadamente haviam sido roubados da Agência de Segurança Nacional dos Estados Unidos (NSA). O grupo afirmou ter obtido acesso a um grande volume de informações confidenciais da NSA e iniciou uma série de leilões online para vender as ferramentas de hacking.

O primeiro grande vazamento ocorreu em agosto de 2016, quando o Shadow Brokers disponibilizou um conjunto de exploits e ferramentas relacionadas ao software de firewall da Cisco, bem como exploits voltados para sistemas operacionais como Windows e Linux. Eles afirmaram que essas ferramentas poderiam ser usadas para realizar ataques cibernéticos em diversas organizações e instituições.

Em 2017, o Shadow Brokers chamou a atenção novamente ao vazar uma série de ferramentas de hacking conhecida como “Equation Group Windows Warez”. Essas ferramentas, supostamente pertencentes à NSA, incluíam exploits e malware projetados para explorar vulnerabilidades em sistemas Windows.

O vazamento mais notório associado ao Shadow Brokers foi a divulgação da vulnerabilidade EternalBlue em abril de 2017. Essa vulnerabilidade, que explorava uma falha no protocolo SMB do Windows, permitiu o desenvolvimento de ataques em grande escala, incluindo o infame ransomware WannaCry, que causou impacto global.

A identidade do Shadow Brokers permanece desconhecida, mas existem especulações de que o grupo possa ter laços com agências de inteligência estrangeiras ou até mesmo ser uma frente para um estado-nação. Suas ações destacaram a preocupação com a segurança cibernética e a necessidade de proteger adequadamente as ferramentas e exploits de hacking para evitar seu uso indevido.

O caso do Shadow Brokers ressalta a importância do controle e segurança das ferramentas de hacking por parte das agências de inteligência e a necessidade de medidas robustas para proteger a infraestrutura cibernética contra ataques maliciosos.

EternalBlue
A vulnerabilidade EternalBlue é uma falha de segurança que afeta o protocolo SMB (Server Message Block) no sistema operacional Windows. Ela foi descoberta pela Agência de Segurança Nacional dos Estados Unidos (NSA) e foi revelada ao público em abril de 2017, quando o grupo de hackers conhecido como Shadow Brokers divulgou uma série de ferramentas de hacking supostamente roubadas da NSA.

A falha permite a execução remota de código em sistemas Windows sem a necessidade de autenticação, o que significa que um invasor pode explorar essa vulnerabilidade para ganhar acesso não autorizado a um computador ou rede. Especificamente, o EternalBlue permite que um invasor envie um pacote especialmente projetado para um serviço vulnerável do SMB e execute código malicioso no sistema alvo.

A gravidade da vulnerabilidade EternalBlue reside no fato de que ela pode ser usada para espalhar malware de forma rápida e eficiente pela rede. Isso ocorre porque, uma vez que um sistema seja comprometido, o malware pode explorar a vulnerabilidade para infectar outros dispositivos dentro da mesma rede local, sem a interação direta do usuário.

O impacto mais notório do EternalBlue foi observado no ataque do ransomware WannaCry, em maio de 2017. O WannaCry aproveitou a vulnerabilidade EternalBlue para se espalhar rapidamente e infectar milhares de computadores em todo o mundo, causando grandes interrupções em empresas, hospitais e infraestruturas críticas.

É importante ressaltar que a Microsoft lançou um patch de segurança para corrigir a vulnerabilidade EternalBlue logo após sua divulgação. No entanto, muitos sistemas não atualizados ou sem as devidas medidas de segurança permanecem vulneráveis a ataques que explorem essa falha.

A descoberta e divulgação da vulnerabilidade EternalBlue destacaram a importância de manter os sistemas operacionais e softwares atualizados com as últimas correções de segurança, bem como a necessidade de conscientização sobre boas práticas de segurança cibernética para proteger-se contra ameaças desse tipo.

Principais Grupos
Existem vários grupos de ransomware ativos no cenário cibernético atual. É importante ressaltar que a natureza do cenário de ransomware é dinâmica, e novos grupos podem surgir enquanto outros diminuem suas atividades. Aqui estão alguns dos grupos de ransomware conhecidos:

  1. REvil (Sodinokibi): O REvil é um dos grupos mais notórios e prolíficos. Eles são conhecidos por ataques de alto perfil, visando empresas de grande porte. Em 2021, o grupo ganhou destaque após o ataque à fornecedora de serviços de tecnologia Kaseya, que afetou várias empresas ao redor do mundo.
  2. Conti: O grupo Conti é outro conhecido por ataques a empresas, incluindo organizações de saúde e educação. Eles têm um histórico de extorsão financeira por meio de criptografia de dados e roubo de informações.
  3. Ryuk: O Ryuk é um grupo que realiza ataques direcionados a organizações, especialmente no setor empresarial. Eles têm como alvo principalmente grandes corporações e instituições governamentais.
  4. DarkSide: O DarkSide ganhou destaque em 2021 após um ataque cibernético ao Colonial Pipeline nos Estados Unidos, que causou interrupções no fornecimento de combustível. O grupo se destaca por sua abordagem de dupla extorsão, na qual eles criptografam os dados da vítima e também roubam informações confidenciais para pressionar o pagamento do resgate.
  5. Maze: O Maze foi um grupo ativo conhecido por seu modelo de dupla extorsão. Eles criptografavam os dados da vítima e ameaçavam publicar as informações roubadas se o resgate não fosse pago. O grupo anunciou sua aposentadoria em 2020, mas pode ter dado origem a outros grupos ou evoluído para diferentes formas de atuação.
  6. Egregor: O grupo Egregor foi ativo em 2020 e é conhecido por ataques a empresas em todo o mundo. Eles criptografam os dados da vítima e ameaçam vazar informações confidenciais se o resgate não for pago.

É importante notar que a dinâmica do cenário de ransomware está sempre evoluindo, e novos grupos podem surgir enquanto outros diminuem suas atividades. A colaboração entre autoridades, empresas de segurança cibernética e a conscientização do público são essenciais para combater esse tipo de ameaça.

Como posso me defender?
Existem várias medidas que você pode adotar para se defender contra ataques de ransomware. Aqui estão algumas dicas importantes:

  1. Mantenha seu software atualizado: Mantenha seu sistema operacional, aplicativos e programas de segurança atualizados com as versões mais recentes. As atualizações frequentes geralmente corrigem falhas de segurança e vulnerabilidades conhecidas.
  2. Tenha um software antivírus e anti-malware confiável: Utilize uma solução de segurança confiável que seja capaz de detectar e bloquear ameaças de ransomware. Mantenha o software antivírus atualizado para garantir a proteção mais recente.
  3. Faça backups regulares: Faça backups regulares de seus arquivos importantes e armazene-os em um local separado e seguro. Certifique-se de que seus backups estejam protegidos contra acesso não autorizado.
  4. Tenha cuidado ao abrir anexos e clicar em links: Esteja atento a e-mails suspeitos, evite abrir anexos ou clicar em links não solicitados ou provenientes de fontes desconhecidas. O phishing é uma tática comum usada para distribuir ransomware.
  5. Utilize autenticação de dois fatores (2FA): Adicione uma camada adicional de segurança habilitando a autenticação de dois fatores sempre que possível. Isso requer uma segunda forma de verificação, como um código enviado para o seu celular, ao fazer login em contas online.
  6. Aplique restrições de execução de scripts: Considere a utilização de ferramentas ou configurações que impeçam a execução não autorizada de scripts em seu sistema. Isso pode ajudar a prevenir a execução de ransomware que se espalha por meio de scripts maliciosos.
  7. Esteja atualizado sobre as ameaças: Mantenha-se informado sobre as ameaças de ransomware atuais e as táticas utilizadas pelos cibercriminosos. Acompanhe as notícias de segurança cibernética e siga as recomendações de especialistas.
  8. Eduque-se e conscientize os usuários: A educação e a conscientização são fundamentais para a prevenção de ataques de ransomware. Treine a si mesmo e a outros usuários sobre os perigos do ransomware, como identificar e-mails de phishing, e quais medidas de segurança devem ser adotadas.

Lembrando que a segurança cibernética é um esforço contínuo, e nenhuma medida de defesa é totalmente infalível. É importante ter um plano de resposta a incidentes caso você seja vítima de um ataque de ransomware. Isso pode incluir a notificação de autoridades competentes, desligamento de sistemas afetados e busca de assistência profissional em segurança cibernética.

Fontes
Ao buscar informações adicionais sobre segurança cibernética e defesa contra ransomware, aqui estão algumas fontes confiáveis que podem ser úteis:

  1. Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) – Site do CERT.br, uma organização brasileira que fornece informações e recursos sobre segurança cibernética: https://www.cert.br/
  2. Europol – European Cybercrime Centre (EC3) – A Europol mantém um centro dedicado ao combate ao crime cibernético, incluindo ransomware: https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
  3. US-CERT (United States Computer Emergency Readiness Team) – O US-CERT é uma divisão do Departamento de Segurança Interna dos Estados Unidos que fornece informações e recursos sobre segurança cibernética: https://www.us-cert.gov/
  4. National Cyber Security Centre (NCSC) – O NCSC é a agência de segurança cibernética do Reino Unido, que oferece orientações e dicas para proteger-se contra ransomware: https://www.ncsc.gov.uk/
  5. McAfee Blogs – O blog da McAfee fornece insights, notícias e dicas sobre segurança cibernética, incluindo informações sobre ransomware: https://www.mcafee.com/blogs/
  6. Kaspersky Threat Intelligence Portal – A Kaspersky, empresa de segurança cibernética, mantém um portal de inteligência de ameaças que fornece informações atualizadas sobre ameaças, incluindo ransomware: https://www.kaspersky.com/enterprise-security/threat-intelligence

Essas fontes são apenas algumas das muitas disponíveis. É importante verificar várias fontes e ficar atualizado sobre as últimas informações de segurança cibernética, pois o cenário de ameaças está em constante evolução.

Leave a Reply

Your email address will not be published. Required fields are marked *

× Fale conosco