O malware que segura dados para resgate existe há anos. Em meados dos anos 2000, por exemplo, o Archiveus foi o primeiro ransomware a usar criptografia; embora tenha sido derrotado há muito tempo, você pode encontrar sua senha em sua página da Wikipedia. No início dos anos 2010, uma série de pacotes de ransomware “policiais” apareceu, assim chamados porque, supostamente, eram avisos da polícia sobre as atividades ilícitas das vítimas, exigindo o pagamento de “multas”; eles começaram a explorar a nova geração de serviços de pagamento anônimos para melhor coletar pagamentos sem serem pegos.
No final dos anos 2010, uma nova tendência de ransomware surgiu: o uso de criptomoedas como o método de pagamento de resgate escolhido pelos cibercriminosos. O apelo era óbvio, já que as criptomoedas são especificamente projetadas para fornecer um método de pagamento anônimo e não rastreável. A maioria das quadrilhas de ransomware exigiu pagamento em bitcoin, a criptomoeda mais conhecida, embora algumas tenham começado a transferir suas demandas para outras moedas, já que a popularidade do bitcoin tornou seu valor mais volátil.
Ao longo dos anos, o ransomware cresceu de uma curiosidade e um aborrecimento para uma grande crise, profundamente entrelaçada com agências de espionagem ultrassecretas e intrigas internacionais. E os maiores ataques de ransomware da última meia década, juntos, fazem um bom trabalho em contar a história do ransomware à medida que ele evolui.
1. TeslaCrypt
Originalmente, alegando ser uma dessas variantes do CryptoLocker, este ransomware logo ganhou um novo nome – TeslaCrypt – e um inteligente modo de agir: ele alvejava arquivos auxiliares associados a videogames – jogos salvos, mapas, conteúdo para download e coisas do tipo. Esses arquivos são ao mesmo tempo preciosos para os jogadores mais experientes e também mais propensos a serem armazenados localmente, em vez de em nuvem ou em um disco externo. Em 2016, o TeslaCrypt representou 48% dos ataques de ransomware.
Um aspecto particularmente pernicioso do TeslaCrypt foi que ele foi constantemente aperfeiçoado. No início de 2016, era basicamente impossível restaurar arquivos sem a ajuda dos criadores do malware. Mas então, de forma chocante, em maio de 2016, os criadores do TeslaCrypt anunciaram que haviam desistido de suas atividades sinistras, oferecendo a chave principal de descriptografia para o mundo.
2. SimpleLocker
À medida que mais e mais arquivos valiosos migram para dispositivos móveis, o mesmo acontece com os golpistas de ransomware. O Android foi a plataforma preferida para atacar e, no final de 2015 e início de 2016, as infecções por ransomware no Android aumentaram quase quatro vezes. Muitos eram chamados de ataques de “bloqueadores” que dificultavam o acesso a arquivos, impedindo que os usuários acessassem partes da interface do usuário, mas no final de 2015 um ransomware particularmente agressivo chamado SimpleLocker começou a se espalhar, cujo ataque foi o primeiro baseado em Android, para realmente criptografar arquivos e torná-los inacessíveis sem a ajuda dos golpistas.
O SimpleLocker também foi o primeiro ransomware conhecido que forneceu sua carga maliciosa através de um trojan downloader, o que dificultou o alcance das medidas de segurança. Como os golpistas perseguem o dinheiro, ao mesmo tempo em que o SimpleLocker nasceu na Europa Oriental, três quartos de suas vítimas estão nos Estados Unidos.
Agora, a boa notícia: apesar de o SimpleLocker ter registrado um grande aumento nas infecções por malware Android, os números em geral ainda são relativamente baixos – cerca de 150.000 até o final de 2016, o que é uma porcentagem muito pequena de usuários do Android. E a maioria das vítimas é infectada ao tentar baixar aplicativos e conteúdo suspeitos fora da loja oficial Play Store. O Google está trabalhando duro para garantir aos usuários para que seja muito difícil ser infectado por um ransomware. Mas ainda é uma ameaça à espreita.
3. WannaCry
Em meados de 2017, dois grandes e entrelaçados ataques de ransomware se espalharam rapidamente por todo o mundo, paralisando hospitais na Ucrânia e estações de rádio na Califórnia, e foi quando o ransomware tornou-se uma ameaça existencial.
O primeiro dos dois maiores ataques foi chamado de WannaCry, e “foi facilmente o pior ataque de ransomware da história”, diz Penn, da Avast. “No dia 12 de maio, o ransomware começou a se instalar na Europa. Apenas quatro dias depois, a empresa de segurança detectou mais de 250.000 casos em 116 países”. (Isso realmente coloca 150.000 infecções do Android em mais de um ano sob perspectiva).
Mas a real importância do WannaCry vai além dos números: Joe Partlow, CTO da ReliaQuest, aponta que foi “a primeira onda de ataques que utilizou maliciosamente ferramentas de hackers vazadas da NSA” – neste caso, EternalBlue, uma exploração que tira proveito de um defeito da implementação do protocolo SMB da Microsoft. Embora a Microsoft já tenha lançado um patch para o defeito, muitos usuários não o instalaram. O WannaCry “se aproveitou cegamente” dessa brecha, diz Penn, “se espalhando agressivamente pelos dispositivos na rede porque a interação do usuário não é necessária para novas infecções”. E Kyle Wilhoit, pesquisador sênior de ameaças à segurança cibernética da DomainTools, aponta que “muitas organizações tinham a porta SMB, 445, abertamente exposta à Internet, o que ajudou a propagar o vírus”.
4. NotPetya
Embora o WannaCry tivesse anunciado a nova era, o NotPetya a confirmou. Petya era um pacote de ransomware que na verdade datava de 2016, mas apenas algumas semanas após o surto de WannaCry, uma versão atualizada começou a se espalhar, usando também o pacote EternalBlue, como o WannaCry, levando os pesquisadores a apelidá-lo de “NotPetya”, porque tinha avançado até agora além de suas origens. Havia muita especulação de que NotPetya não era um ransomware, mas sim um ciberataque russo disfarçado sobre a Ucrânia.
De qualquer maneira, porém, Varun Badhwar, CEO e co-fundador da RedLock, vê uma lição. “Houve muita discussão sobre quem poderia estar por trás do ataque WannaCry”, diz ele. “Mas saber a informação não impedirá que mais ataques como esse ocorrerá. Malwares e kits de ferramentas estão facilmente disponíveis na Internet para todos, desde scripts infantis até unidades de crime organizado e invasores patrocinados pelo Estado.
O fato de o NotPetya se espalhar tão rapidamente mostrou que organizações em todo o mundo ainda não estavam levando a segurança cibernética tão a sério quanto deveriam. Ser proativo em monitorar o tráfego de rede local e garantir que eles estão monitorando o tráfego dentro de ambientes de infraestrutura em nuvem poderia ter evitado algumas das infecções NotPetya. Aqueles com ampla visibilidade de rede e ferramentas de monitoramento podem detectar automaticamente o tráfego de rede em portas não padrão, que foram usadas para iniciar ataques como o WannaCry”.
5. SamSam
Ataques usando o software conhecido como SamSam começaram a aparecer no final de 2015, mas aumentaram realmente nos anos seguintes, ganhando algumas “cabeças de alto nível”, incluindo o Departamento de Transporte do Colorado, a cidade de Atlanta, e numerosas instalações de saúde. O que torna o SamSam especial é que é mais organizacional do que técnico: não é um software que procura indiscriminadamente alguma vulnerabilidade específica, mas um ransomware-como-um-serviço, cujos controladores examinam cuidadosamente os alvos pré-selecionados quanto a pontos fracos, com as brechas sendo exploradas no IIS para FTP para RDP. Uma vez dentro do sistema, os invasores trabalham obedientemente para escalar privilégios para garantir que, quando eles começarem a criptografar arquivos, o ataque seja particularmente prejudicial.
Embora a crença inicial entre os pesquisadores de segurança era de que o SamSam tinha origem na Europa Oriental, a esmagadora maioria dos ataques visava instituições dentro dos Estados Unidos. No final de 2018, o Departamento de Justiça dos Estados Unidos indiciou dois iranianos que afirmaram estarem por trás dos ataques; a acusação disse que esses ataques resultaram em mais de US$ 30 milhões em perdas. Não está claro quanto desse valor representa o resgate real pago; a certa altura, as autoridades municipais de Atlanta forneceram à mídia local imagens de resgates, que incluíam informações sobre como se comunicar com os invasores, o que os levou a fechar o portal de comunicações, possivelmente evitando que Atlanta pagasse o resgate, mesmo que quisessem.
6-Ryuk
Ryuk é outra variante de ransomware que fez grande sucesso em 2018 e 2019, com suas vítimas sendo escolhidas especificamente, como organizações com pouca tolerância para o tempo de inatividade; eles incluem jornais diários e um utilitário de água da Carolina do Norte lutando com o rescaldo do furacão Florence. O Los Angeles Times escreveu um relato bastante detalhado do que aconteceu quando seus próprios sistemas foram infectados. Uma característica particularmente desonesta do Ryuk é que ele pode desativar a opção Restauração do Sistema do Windows em computadores infectados, tornando ainda mais difícil recuperar dados criptografados sem pagar um resgate. As demandas de resgate eram particularmente altas, correspondendo às vítimas de alto valor que os invasores tinham como alvo; uma onda de ataques de fim de ano mostrou que os invasores não tinham medo de arruinar o Natal para atingir seus objetivos.
Analistas acreditam que o código fonte do Ryuk é em grande parte derivado da Hermes, que é um produto do Grupo Lazarus, da Coréia do Norte. No entanto, isso não significa que os próprios ataques de Ryuk tenham sido executados no país; a McAfee acredita que o Ryuk foi construído com base em código comprado de um fornecedor de língua russa, em parte porque o ransomware não é executado em computadores cuja linguagem está definida como russa, bielorrussa ou ucraniana. Como esta fonte russa adquiriu o código da Coréia do Norte não está claro.
Menção honrosa: CryptoLocker
Caindo fora do nosso período de cinco anos, está o CryptoLocker, que entrou em cena em 2013 e realmente abriu a era do ransomware em grande escala. O CryptoLocker se espalhou por meio de anexos a mensagens de spam, usando a criptografia de chave pública RSA para selar arquivos de usuários, exigindo dinheiro em troca das chaves para descriptografia. Jonathan Penn, diretor de estratégia da Avast, observa que no seu auge, no final de 2013 e início de 2014, mais de 500.000 máquinas foram infectadas pelo CryptoLocker.
O CryptoLocker era um pouco primitivo e acabou sendo derrotado pela Operação Tovar, uma campanha dos white-hat, que derrubou o botnet que controlava o CryptoLocker, no processo de descobrir as chaves privadas usadas pelo CryptoLocker para criptografar arquivos. Mas, como Penn disse, o CryptoLocker tinha “aberto as comportas” para muitas outras variedades de ransomware de criptografia de arquivos, algumas delas derivadas do código do Crypto Locker, e algumas delas receberam o nome CryptoLocker ou uma variante próxima, porém que foram escritas do zero. As variantes em geral cobraram cerca de US$ 3 milhões em taxas de resgate; Um deles foi o CryptoWall, que em 2015 foi responsável por mais da metade de todas as infecções por ransomware.
Tempos de mudança
Apesar dessas ameaças muito reais, o ransomware na verdade diminuiu em 2018 e 2019. A queda foi acentuada: o ransomware afetou cerca de 48% das organizações em 2017, mas apenas 4% em 2018. Há algumas razões para a queda. Uma é que os invasores de ransomware são cada vez mais adaptados para alvos específicos e executados por controladores sofisticados em tempo real, como SamSam e Ryuk. Esse valor de 48% para 2017 pode soar assustadoramente alto, mas muitas das organizações “afetadas” são apenas empresas que receberam e-mails genéricos de phishing com cargas de ransomware simples para a segurança de TI detectar e desviar.
Os ataques direcionados afetam menos organizações, mas têm uma taxa de sucesso muito maior; o declínio nas infecções não correspondeu a um declínio na receita para os invasores.
Depois, há o fato de que o ransomware é um tipo de ataque que requer que suas vítimas realizem ativamente várias etapas para alcançar um pagamento. As vítimas precisam descobrir como funciona o bitcoin (algo que você não pode garantir que eles saberão), então avalie se eles estão ou não dispostos a pagar um resgate ao invés de tentar algum outro tipo de remediação – e mesmo se é mais caro restaurar sistemas sem pagar, muitos o farão para evitar dar dinheiro aos criminosos.
E acontece que, se o objetivo de um invasor é adquirir bitcoin ao se infiltrar nos sistemas de computadores de outra pessoa, há maneiras muito mais fáceis de fazer isso: o cryptojacking. Os criptojackers seguem o script que os spammers e os invasores de DDoS têm usado há anos: ganhando, furtivamente, o controle de computadores sem que seus proprietários saibam. No caso do cryptojacking, as máquinas comprometidas tornam-se plataformas de mineração de bitcoin, gerando silenciosamente criptomoedas em segundo plano e consumindo ciclos de computação ociosos, enquanto a vítima não sabe de nada. Como os ataques de ransomware declinaram ao longo de 2018, os ataques de cryptojacking aumentaram 450%, e os pesquisadores acreditam que essas duas estatísticas estão relacionadas.
A Snowflake anunciou que encerrará esta semana sua investigação sobre um ciberataque que afetou até…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
A Rockwell Automation anunciou novas colaborações com a NVIDIA para impulsionar o desenvolvimento de robôs…
A Real Máquinas, rede de concessionárias brasileiras da marca americana de máquinas agrícolas John Deere,…
A Compass UOL adiantou essa semana, com exclusividade para o IT Forum, que firmou uma…
Quanto mais as empresas adotam aplicações de inteligência artificial, maior é a responsabilidade das equipes…