Na informática, o ransomware (AFI: /ˈræn.səm.weər/) é um software malicioso usado para extorsão por meio de sequestro de dados digitais usando a criptografia;[1][2] um crime-cibernético que usa como refém arquivos computacionais pessoais da própria vítima, cobrando assim um resgate para restabelecer o acesso a estes arquivos.[1][3] Este resgate (ransom em inglês[4]) é cobrado em criptomoedas, que, na prática, o torna quase impossível de se rastrear o criminoso.
Uma vez que o sistema esteja infectado, o ransomware irá criptografar, em segundo plano, dados sensíveis do usuário. Assim que concluído o processo, emitirá um aviso em tela informando sobre o bloqueio. Em seguida, um valor será exigido para obter uma chave a fim de restabelecer acesso aos arquivos criptografados. Caso não ocorra o pagamento, os mesmos arquivos podem ser perdidos e até mesmo publicados. De acordo com um relatório da Cisco, essa técnica dominou o mercado de ameaças digitais em 2017 e se tornou o tipo de malware mais rentável da história.
A primeira ocorrência documentada desse tipo de ataque ocorreu com o cavalo-de-troia de 1989, um trojan conhecido como AIDS, criado pelo biólogo Joseph Popp, que distribuiu mais de 20 mil disquetes infectados na Conferência Internacional sobre AIDS da Organização Mundial da Saúde.[5] Os participantes que decidiram usar o disquete deflagraram uma ameaça que criptografou seus arquivos. Para restabelecer o acesso, os usuários foram advertidos a enviar U$189 para uma caixa postal da PC Cyborg Corporation. Na época, os mesmos usuários conseguiram solucionar o problema uma vez que o malware usou criptografia simétrica, que é relativamente fácil de ser descriptografada.
Outro exemplo deste tipo de malware é o Arhiveus-A, que compacta arquivos no computador da vítima num pacote criptografado. Em seguida informa que os arquivos somente poderão ser recuperados com o uso de uma chave difícil de ser quebrada, geralmente de 30 dígitos, que a vítima receberá após efetuar sua compra. Trata-se de um golpe, uma extorsão, pois não há qualquer garantia que após o pagamento a vítima receberá a chave de descriptografia.
A maioria dos ransomwares é criada com propósitos comerciais e, diferentemente dos trojans, não permite acesso externo ao computador infectado. A maioria desse tipo de ameaça é, em geral, facilmente detectada pois costuma gerar arquivos criptografados de grande tamanho, embora alguns ransomwares possam escolher inteligentemente que pastas criptografar ou, então, permitir que o atacante escolha as pastas de interesse.
De acordo com o relatório de Avaliação da Ameaça do Crime Organizado na Internet (IOCTA) da Agência da União Europeia para a Cooperação Policial (Europol), apesar do declínio perceptível em 2019, o ransomware ainda era o crime mais usado para fazer roubos financeiros.[6]
Exemplo de mensagem em tela de um típico ransomware:
Seus arquivos pessoais foram criptografados!
Importantes arquivos produzidos neste computador foram criptografados: fotos, vídeos, documentos, etc. Aqui está a lista completa dos arquivos que foram criptografados, e você pode pessoalmente verificar isso.
A criptografia usada produziu uma chave pública única RSA-2048 gerada para este computador. Para descriptografar os arquivos, você precisará obter a chave privada (criptografia assimétrica).
Uma única cópia dessa chave privada, que lhe permite descriptografar os arquivos, está localizada num servidor secreto na Internet; este servidor irá destruir a chace após o tempo especificado nesta janela. Depois disso, ninguém e nada será capaz de recuperar os arquivos.
Para obter a chave privada para este computador você tem que pagar 100 USD/ 100 EUR / ou quantia similar em outra moeda.
Clique em <próximo> para selecionar o método de pagamento e a moeda.
Atenção: qualquer tentativa de remover ou de danificar este software acarretará a imediata destruição da chave privada pelo servidor.
A chave privada será destruída em
<data_e_hora>
Tempo restante:
<contagem regressiva do tempo_restante>
Cripto-ransomware
A criptografia é o elemento-chave do cripto-ransomware, uma vez que todo o seu plano de negócios depende do uso bem-sucedido da criptografia para bloquear os arquivos ou sistemas de arquivos das vítimas sem planos de recuperação, como backups de dados.
O funcionamento do ransomware que criptografa arquivos foi concebido e implementado por Adam L. Young e Moti Young na Universidade de Columbia e foi apresentado em 1996[7]. Embora o AIDS Trojan já contivesse a extorsão e a criptografa arquivos, este malware possuía como fraqueza o fato de que a chave de desencriptação poderia ser extraída do seu próprio código. Por outro lado, o protocolo do cripto-ransomware envolve três passos:
1 - Atacante → vítima: o atacante gera um par de chaves e libera o malware com uma chave pública. A chave privada correspondente é mantida secreta pelo atacante.
2 – Vítima → Atacante: o vírus se espalha e afeta o sistema da vítima. Os arquivos são criptografados simultaneamente (criptografia híbrida) por uma chave local gerada aleatoriamente e pela chave pública. São gerados textos cifrados simétricos e assimétricos. Para recuperar seus dados, a vítima geralmente é extorquida para enviar ao atacante uma quantia em criptomoedas e a chave assimétrica.
3 - Atacante → vítima: o atacante recebe o pagamento e a chave assimétrica. O atacante descriptografa a chave assimétrica com a sua chave privada e envia a chave simétrica descoberta para a vítima. A vítima pode, então, resgatar seus arquivos com a chave simétrica recebida.
Em nenhum momento a chave privada é revelada para a vítima e a chave simétrica é gerada aleatoriamente. Dessa forma, a mesma chave simétrica não pode ser usada para múltiplas vítimas.
Isso não significa que a criptografia é intrinsecamente maligna. Na verdade, é uma ferramenta poderosa e legítima empregada por indivíduos, empresas e governos para proteger os dados de acesso não autorizado, como o sistema de Ukash. Assim como qualquer outra ferramenta poderosa, algoritmos de criptografia podem ser mal utilizados, que é exatamente o que o crypto-ransomware faz.[8]
Modo de ataque
Esse tipo de ataque geralmente começa com um e-mail recebido contendo um malware em anexo ou um link para um site malicioso (o famoso phishing). Pode acontecer ainda por um pop-up adware (propaganda) exibido em algum site. Neste caso, aparece um alerta na tela do usuário de que ele foi infectado e que, para resolver o problema, precisa clicar no link fornecido.[carece de fontes?]
O que fazer após a contaminação?
Bom, caso você ou a sua empresa sejam contaminados por algum tipo de ransomware, é necessário identificar quais dos tipos de ransomware que você foi vítima.
Uma vez que o computador esteja bloqueado, é muito difícil a remoção do ransomware, pelo fato que o usuário não consegue sequer acessar seu o sistema. Por isso, toda ação preventiva é válida. O melhor caminho é manter o antivírus sempre atualizado e programá-lo para fazer buscas regulares no sistema em busca desses vírus, para que ele seja detectado antes que ativado.
É fundamental ter sempre backup atualizado de suas informações e arquivos, caso precise formatar totalmente o computador infectado, para não perder nenhum arquivo importante. Aplicam-se as mesmas orientações para demais malwares: não clique em links de SPAM do e-mail, sempre verifique a fonte dos vídeos ou links, mantenha seus softwares atualizados apenas instale programas de sites confiáveis[9].
Histórico de ataques relevantes
A ideia de se utilizar criptografia associada a um ciberataque com um vírus conhecido surgiu em meados da década de 90. Em um artigo publicado por Adam L. Young e Moti Young publicado em 1996, os pesquisadores abordam o conceito de “criptovírus” e o potencial de utilização da criptografia para ataques massificados envolvendo extorsão a partir da modificação dos dados do computador da vítima por meio da criptografia.
O primeiro ataque documentado de ransomware ocorreu em 1989, afetando o setor da saúde. O AIDS (Trojan horse) (ou PC Cyborg) foi iniciado pelo pesquisador PHD Joseph Popp. O ransomware, após a nonagésima reinicialização do computador, criptografava os nomes de todos os arquivos do drive C:, inutilizando o computador e exigindo o resgate de US$ 189.
Os ataques ransomware se tornaram mais comum no início dos anos 2000, sendo os mais populares à época Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, and MayArchive[10].
Em 2013 um salto significativo impulsionou uma nova onda de ransomwares: a possibilidade de utilizar bitcoin para coletar o dinheiro de extorsão, com o CryptoLocker. Em 2019, apesar de um diminuião significativa de ataques, o ransomware ainda era o crime mais usado para fazer roubos financeiros.[6] Já em 2023, no relatório publicado pela empresa norte-americana Sonicwall, constatou-se que o Brasil foi o quarto maior alvo dos ataques mundiais, ficando atrás dos Estados Unidos da América, Reino Unido e, Espanha.[11] De acordo com Thiago Marques, o diretor de cibersegurança da Add-Value, esse acontecimento está muito ligado a ocorrência da pandemia da COVID-19, devido o país ainda não ter a cultura do trabalho remoto, oque expôs muito as empresas.[11]
WannaCry
'WannaCry' ou 'WCry' ou 'WanaCrypt0r' é o crypto-ransomware mais famoso mundialmente, por ter sido utilizado no ataque de maior rede infecciosa da história, conhecido como 'O ataque do ransomware WannaCry', ocorrido em maio de 2017.[12] Ele infecta os sistemas operacionais Microsoft Windows desatualizados, sequestrando os arquivos do usuário, que seriam liberados apenas após pagamento de resgate em bitcoins.[13] Foi utilizado em larga escala contra organizações tanto públicas ou privadas, como empresas de telecomunicações e organizações governamentais, mas também contra computadores pessoais.[12]
BadRabbit
'BadRabbit' é um crypto-ransomware que infecta a partir de uma falsa requisição de atualização do Adobe Flash, confirmada pela vítima no momento que permite a instalação, encontrada principalmente em sites de notícias comprometidos.[12][14] Uma vez dentro do computador hospedeiro, o cibercriminoso tem acesso a credenciais do usuário que o possibilitam disseminar a infecção para toda rede local nativa do computador.[15] Após isso os arquivos são encriptados e é exigido um resgate em bitcoins no qual os valores progridem conforme o prazo de pagamento atual expira.[16] Há registros de contaminações na Europa, mas principalmente no leste europeu, na Rússia e Ucrânia.[17]
Cerber
'Cerber' é um crypto-ransomware oferecido como 'Ransomware-as-a-service' ou 'Ransomware como serviço'.[18] Nesse modelo de negócio, o software é cedido pelo desenvolvedor para utilização de outros cibercriminosos, dos quais exige-se comissões dos resgates bem-sucedidos.[18] É difundido pela disseminação de arquivos maliciosos anexados em correspondências de e-mail que quando abertos infectam a máquina e conectam-se a um site malicioso, de onde é instalado o ransomware em si.[19] Após a infecção os arquivos são encriptados e uma nota de resgate será exibida para a vítima. Os valores também progridem conforme o prazo de pagamento atual expira.[19]
Darkside
Darkside é um Ransonware-as-a-service (RaaS) o grupo Darkside desenvolve ransomware para cibercriminosos e recebe uma parte dos lucros dos ataques. Em maio de 2021 um dos maiores incidentes de cibersegurança na história dos Estados Unidos, envolvendo a empresa Colonial Pipeline, que opera o maior gasoduto do país, foi atribuído ao grupo. O ataque teria tido origem por uma invasão na rede corporativa por meio de uma VPN inativa, cuja senha estava na darkweb.[20]
Crysis
'Crysis' é um crypto-ransomware que dissemina-se também através arquivos maliciosos anexados a correspondências de e-mails, propagados pelo disparo de campanhas de SPAM e infecta apenas sistemas operacionais Microsoft Windows.[12] Quando instalado e terminado o processo de encriptação, é exibida uma nota de resgate que pode disfarçar-se de mecanismo de proteção e segurança do próprio sistema.[21]
Locky
'Locky' é um tipo de crypto-ransomware ainda mais perigoso pois encripta uma grande variedade de arquivos de uso ordinário, o que causa bloqueio da maioria das funções regulares da máquina.[12] É disseminado também a partir de campanhas de e-mail SPAM, mas apresenta-se como faturas de pagamento, tendo anexadas mensagens sem sentido para que solicitando permissão para ativar um macro, a vítima seja enganada a pensar que está autorizando a decodificação da mensagem.[22] Nesse momento, o malware é instalado no computador, realiza a encriptação e bloqueia a maioria das funções comuns, para depois exibir a nota de resgate.[12]
Jigsaw
'Jigsaw' é um tipo de crypto-ransomware dos mais destrutivos pois exclui os arquivos encriptados na regularidade de hora em hora, até o prazo de 72 horas da infecção se não pago o resgate, quando todos os arquivos são deletados completamente.[12] O malware também intimida a vítima a não reiniciar o computador, ameaçando deletar os arquivos caso feito.[12] É facilmente identificável, pois o programa exibe na sua nota de resgate a imagem de Jigsaw, icônico vilão da série 'Jogos Mortais'.[23]
Petya
'Petya' é uma familia de crypto-ransomwares que foi primeiramente descoberta em 2016 pela grande campanha de engenharia social empreendida no mesmo ano. Por ela inúmeros e-mails anexados com arquivos infecciosos propagaram variantes do malware Petya por todo o mundo culminando em 2017 com um dos maiores ciber-ataques da história do mundo. O software se beneficia de uma vulnerabilidade nos sistemas operacionais Microsoft Windows para infectá-lo e assim encriptar os arquivos e exibir uma mensagem de resgate. No entanto, após estudos, especialistas dizem o Petya ter adquirido características de wiper, ou seja, um software malicioso cujo objetivo é destruir os arquivos ao invés de criptografá-los, sem chance de recuperação.[24]
GoldenEye
'GoldenEye' é um tipo de crypto-ransomware da família Petya, muito semelhante ao próprio. O malware é distribuído por meio de campanhas maliciosas de e-mail massivas contendo dois tipos de arquivos. O conteúdo da correspondência geralmente é uma oferta de emprego e está escrito em alemão. Em anexo há dois tipos de arquivos: um currículo falso e o outro, um arquivo excel malicioso que se aberto abre uma requisição para que o usuário habilite os macros de seu sistema operacional. Quando habilitado, o arquivo excel irá gerar um arquivo e executará o ransomware.[25]
Reveton
'Reveton' é um tipo de locky-ransomware dos mais antigos conhecidos, que ao invés de criptografar os arquivos, bloqueia a tela do computador. Apesar de inacessíveis, os arquivos mantém-se íntegros e são recuperados mediante a um resgate. Na tela de bloqueio, é exibida uma falsa comunicação de crime, cujo procurador seria o governo, alegando que a máquina fora bloqueada por ter sido utilizada para fins ilícitos, exigindo portanto uma quantia em dinheiro para ser desbloqueada.[26]
Maze ransomware
'Maze ransomware' é um crypto-ransomware que em 2019 tornou-se famoso por prejudicar diversas instituições ao longo do mundo, principalmente na área da saúde. É também distribuído como um RaaS, no esquema de desenvolvedor-afiliado, no qual os desenvolvedores vendem os softwares para criminosos e exigem uma porcentagem da quantia do resgate. Os ataques eram direcionados principalmente a grandes corporações pois o grupo de desenvolvedores se especializou na extorsão por meio da ameaça de vazamento de dados sensíveis extraídos dos sistemas de informação das instituições vítimas. .[27]
Proteção
Por mais que existam softwares que descriptografem arquivos, eles podem não ter eficácia garantida. É possível até mesmo que você acabe por criptografar ainda mais, quando se utiliza o código incorreto para o tipo de criptografia utilizada.[carece de fontes?]
Apesar de ser assustador, tanto para usuários comuns, quanto para as corporações de diversas naturezas, é possível defender-se de um ataque ransomware. Deve-se ter os mesmos cuidados que são utilizados para evitar outros tipos de ameaças digitais, quando se implementam soluções de segurança para dispositivos finais, firewalls para o perímetro de rede e data center e os Next Generation Firewalls (NGFW).[carece de fontes?]
Detecção
Diversos serviços, como a Microsoft, já possuem meios de detecção e sinalização de que um ataque de ransomware foi efetuado, para que o usuário possa proteger ou excluir seus dados pessoais e evitar que a invasão seja bem sucedida[28].
Mitigação
O cuidado com a exposição de dados na internet pode aliviar o risco de sofrer o golpe, pois mesmo que existam muitas formas de ransomware, a redução de informações disponíveis diminui as chances de ser mais uma vítima. Além disso, evitar o ingresso em links e sites que não possuem segurança também é uma forma de precaução.[carece de fontes?]
Combate
Os antivírus são uma importante defesa contra o ransomware, suas funcionalidades vão da detecção até a destruição do problema. Assim como existem variedades incontáveis de ataques, existem diversas formas de combate, que envolvem inclusive a criptografia para dificultar o acesso dos invasores.[carece de fontes?]
Tipos
Apesar de existirem diversas nomenclaturas para os ransomwares, existem tipos específicos de atuação conhecidos como “variantes”. Uns mais perigosos que outros, mas todos com um potencial destrutivo enorme, seja da vida financeira da instituição, seja da sua privacidade.
Scareware – Dentre os existentes, é o menos perigoso. Eles são softwares maliciosos que aparecem inicialmente como avisos – geralmente apelando para nomes de softwares de segurança e antivírus legítimos –, que pedem pagamentos em troca de uma suposta desinfecção. Ele é a porta de entrada para ransomwares mais perigosos que podem bloquear todo o sistema.[29]
Lock Screen – São aqueles em que o usuário tem a sua tela bloqueada. É um problema maior, já que ele sequer consegue acessar seu sistema operacional, a não ser pelo pagamento do resgate.[carece de fontes?]
Os criminosos podem extorquir as vítimas de diversas maneiras com intuito de coagi-las a pagarem os resgates dos sequestros. Os mais comuns são:
Sites de Doxxing corporativo e 'Victim Shaming'
Nesse caso, os cibercriminosos, munidos de dados corporativos e pessoais, os expõem progressivamente em sites específicos a fim de coagir as vítimas, condicionando o fim da exposição ao pagamento do resgate.[30]
Leilões de venda de dados
Dependendo do valor das informações, os cibercriminosos podem escolher por vendê-los em leilões de venda online de dados para também garantir que o esforço do ataque seja financeiramente recompensado, caso não lhes seja depositado o resgate. Já ocorreram na história leilões onde foram negociados dados de vítimas de alto status social, como Lady Gaga, Madonna e Donald Trump.[30]
Ataque DDoS
Os cibercriminosos podem somar um ataque DDoS ao ransomware, principalmente contra corporações, para ocasionar ainda mais transtornos e obrigá-los a pagar o resgate.[30]
Contato direto e mídia
Contra organizações corporativas, os criminosos podem contactar partes interessadas como fornecedores, acionistas, clientes e também jornalistas e mídia especializada para cobrir e expor o ataque, coagindo os executivos a pagar o valor de resgate.[30]