Como lidar com a ameaça crescente do ransomware?

De todos os esquemas de fazer dinheiro que hackers empregam, o que mais cresce é o ransomware, malware normalmente entregue por meio de anexos de e-mail infectados e sites hackeados. Essa ameaça criptografa arquivos no computador de um usuário e os torna inutilizáveis até que a vítima pague uma quantidade específica de dinheiro no resgate.

Cibercriminosos estão fazendo milhões de dólares com o ransomware. De acordo com previsões e avaliações de especialistas, a ameaça vai continuar sua jornada de expansão nos próximos meses. Recentemente, várias organizações foram duramente atingidas por ransomware, incluindo um departamento de polícia de Massachusetts, uma igreja em Oregon, escolas na Carolina do Sul e vários centros médicos na Califórnia e Kentucky, um dos quais acabou pagando os atacantes 40 bitcoins (cerca de US$ 17 mil).

Só em 2015, o FBI recebeu cerca de 2,5 mil queixas relacionadas a ataques de ransomware, que totalizaram aproximadamente US$ 24 milhões em perdas para as vítimas.

Tecnologias de criptografia modernas como rede TOR e moedas digitais como bitcoin estão contribuindo para o sucesso crescente do ransomware, permitindo que hackers realizem ataques com mais eficiência e escondam seus rastros.

Em muitos casos, vítimas não têm nada a fazer além de pagar os cibercriminosos. O próprio FBI aconselha o pagamento do resgate. Métodos e ferramentas tradicionais já não são suficientes para lidar com a rápida evolução do ransomware, e novas abordagens são necessárias para detectar e combater seus efeitos devastadores.

As altas taxas de sucesso de ataques ransomware estão diretamente atribuídas às deficiências de antivírus que dependem de métodos estáticos, baseados em assinaturas para detectar a ameaça.

Com diversas variantes do ransomware sendo desenvolvidas em uma base diária, não há simplesmente nenhuma maneira de defesa baseada em assinatura que possa ser efetiva. Udi Shamir, Chief Security Officer da empresa de segurança cibernética do Sentinel One, explica ao Tech Crunch que “com pequenas modificações, um cibercriminoso pode tomar uma forma bem conhecida de ransomware como CryptoLocker, e torná-lo completamente desconhecido e indetectável para o software antivírus.”

Mas, então, como se proteger dessa ameaça? Especialistas concordam que lutar contra essa ameaça demanda nova abordagem, que deve ser baseada em análise do comportamento em vez de assinatura.

A maioria dos ransomwares pode ser detectada a partir de um conjunto compartilhado de características comportamentais. Tentativas de excluir o Windows Shadow Copies, impossibilitando o reparo de inicialização ou parar serviços como WinDefend e BITS são sinais de trabalho do ransomware. “Cada uma dessas ações são comportamentos que, se detectados, se traduzem em um ataque ransomware”, explica Shamir.

Contudo, na visão de Jens Monrad, engenheiro de sistemas da empresa de segurança FireEye, novas ferramentas por si só podem não prevenir indivíduos ou organizações de enfrentar desafios quando infectadas com ransomware. “Acima de tudo, precisamos de uma nova maneira de pensar sobre ataques cibernéticos.”