Diferente do que acontece em outros tipos de malware, que simplesmente agem como ladrões para roubar ou apagar seus dados, o ransomware se comporta como um sequestrador e os mantêm como reféns, até que seja pago um resgate. O objetivo desse tipo de ataque é fazer o máximo de dinheiro possível para o seu desenvolvedor.
Enquanto outros tipos de malwares, como vírus e cavalos de Tróia, simplesmente danificam seu sistema ou roubam dados sensíveis — sem, entretanto, resultar num benefício monetário imediato para o hacker que os deflagrou — o ransomware toma controle de arquivos e pastas. E, em seguida, exige a transferência de dinheiro para que eles sejam liberados.
A maior porta de entrada para ransomware são arquivos infectados recebidos por e-mail ou copiados de mídias removíveis. Esquemas de phishing, anúncios e software supostamente utilitário são outras formas de se entrar em contato com esses malwares.
Como funciona o ransomware?
Uma vez que o ransomware tenha encontrado seu host ele começa a atacar, bloqueando acessos de usuários a seus arquivos, pastas, configurações e aplicativos. Esse bloqueio é feito com ajuda da criptografia.
Normalmente, a criptografia não é algo que você precisa temer. Trata-se de uma ação legítima para proteger dados e, na maioria dos casos, é uma função permitida pelo usuário e por seu sistema operacional. O problema é quando essa criptografia é usada com intuito malicioso, caso do ransomware.
Ao aplicá-la a arquivos, programas e configurações contra a vontade do usuário (e sem informá-lo da chave necessária para descriptografar o conteúdo), o malware literalmente impede que você use as funções mais básicas de seu computador.
Todavia, porque a criptografia é uma função típica, o ransomware é extremamente difícil de se detectar. Antivírus tradicionais não estão equipados para perceber essa ação como uma ameaça e, portanto, são pouco úteis na proteção do seu computador, caso ele seja atingido por esse tipo de código malicioso. Eles podem ajudar a identificar um arquivo com intuito malicioso, mas a criptografia em si tende a passar despercebida por seus escaneamentos.
Como o ransomware se comporta?
Ao ser infectado pelo ransomware o usuário pode tentar abrir seus arquivos e programas normalmente, apenas para encontrar uma mensagem de bloqueio que o informa que utilizar seus arquivos só será possível mediante o pagamento de um “resgate”.
O valor desse resgate costuma ser pago em Bitcoin, um tipo de moeda criptografada que tem muito usos legítimos, mas é a preferida dos hackers por não ser rastreável. Utilizando o Bitcoin eles conseguem fazer a extorsão de quantias sem precisar revelar sua identidade para as autoridades.
E, quando a criptografia está completa, não há mais o que fazer. A não ser que você possua backups atualizados recentemente, todo o trabalho feito no computador, ou servidor infectado, estará comprometido. Sua empresa pode optar por pagar o resgate, o que não é recomendável, ou pode ter de arcar com uma imensa carga de retrabalho.
Por que pagar o resgate é uma ação pouco indicada? Quando se trata de hackers de intuito malicioso, é impossível garantir que eles sigam qualquer tipo de código de ética e conduta. Pode acontecer da sua empresa gastar uma quantia de dinheiro irrecuperável e, mesmo assim, perder completamente o acesso aos seus dados.
Por isso, quando o assunto é ransomware o velho ditado tem razão: é bem melhor prevenir do que remediar. Então, o que você pode fazer para proteger-se desse perigoso malware? É esse o assunto que vamos explorar a seguir. Confira!
Como me proteger do ransomware?
A maneira mais fácil de encontrar proteção contra o ransomware é instalando um produto antivírus e um antimalware em seu sistema, lembrando-se de mantê-los sempre atualizados. Embora antivírus gratuitos possam ser muito bons, não se deve hesitar em obter uma ferramenta corporativa para garantir maior proteção.
Os antivírus, como mencionados anteriormente, não vão “impedir” a criptografia, mas prevenir que você baixe ou instale arquivos infectados. Já os antimalware, têm uma capacidade estendida de detecção. Afinal, foram feitos especificamente para lidar contra o malware, categoria de ameaça em que o ransomware se encaixa.
Outra forma útil de evitar o ransomware é restringindo os downloads que faz por aí. Programas suspeitos e barras de tarefas costumam vir carregadas de software malicioso e, na atualidade, isso pode significar o vírus do resgate.
Todavia, para garantir, de fato, que a sua empresa não passará dores de cabeça devido ao ransomware, é necessário manter sempre um backup de todos os seus arquivos mais importantes. Esse backup deve ser atualizado com frequência e, se possível, armazenado externamente. São cópias de segurança que garantem que, caso a sua empresa seja atingida, possa voltar a trabalhar sem prejuízos.
Mas, se no passado, a única forma de se livrar do ransomware era transferir um montante em bitcoins para os hackers — ou aceitar a perda definitiva de seus arquivos — hoje há uma série de recursos que sua empresa pode usar para prevenir esses ataques. O guia seguinte enumera algumas ações que podem ser tomadas contra esses ataques, em múltiplas camadas de sua infraestrutura de TI.
1. Com proteção baseada em firewall
Os dispositivos de UTM (Firewall) modernos possuem recursos Antimalware de Gateway e Intrusion Prevention System (IPS) que devem ter assinaturas para a detecção deste tipo de malware. Produtos como SonicWALL e Sophos possuem estas assinaturas, e os clientes com essas licenças em dia, e firewalls devidamente configurados, poderão receber proteção contra essas ameaças.
No entanto, nos dias de hoje, a criptografia é largamente utilizada por aplicações legítimas, dificultando a inspeção por parte do UTM (Firewall). Um recurso que pode ser adotado para a inspeção de pacotes criptografados através de SSL, é o DPI-SSL, que é um recurso que pode interceptar o fluxo de dados criptografado e atuar como um agente intermediário de inspeção. Desse modo a assinatura será mais efetiva.
O único obstáculo é que o licenciamento desta funcionalidade é a parte. E o firewall da sua empresa precisa ser dimensionado para isso, posto que o processo de análise de dados criptografados consome um grande volume de recursos. Contar com a ajuda de uma equipe de especialistas em segurança vai ajudar você a implementar a proteção baseada em firewall, com maior eficiência do que sua equipe interna de TI poderia oferecer.
2. Com proteção de endpoint de Servidor e Estação
Para proteger servidores e estações deve-se adotar uma ferramenta que seja capaz de analisar o comportamento das aplicações e processos internos do sistema operacional. Ela será capaz de evitar a criptografia de dados de forma não autorizada.
Há uma série de proteções que podem preservar os dados antes mesmo que eles sejam acessados. O controle das mídias removíveis e a inspeção de cópia/execução a partir de drives externos também são necessários.
3. Com esquemas de backup atualizados
Outra das formas mais eficientes de evitar o ransomware são os backups. Verifique sua política atual e passe a efetuar cópias de segurança de estações chave na empresa.
Caso exista a ocorrência de ransomware, simplesmente restaure o arquivo mais recente e volte a operar sem maiores problemas.
4. Com updates regulares em seus softwares
Entre todas as formas de proteção em que sua empresa pode investir, ter a versão mais recente do seu sistema operacional instalada e realizar as atualizações periódicas de segurança é um jeito bastante eficaz de prevenir-se.
Em ataques recentes, os usuários que possuíam as últimas definições de vírus do Windows Defender não foram vulneráveis a ameaças grandes como o WannaCry, mas empresas que utilizavam versões desatualizadas de software foram duramente atingidas.
Atualizar seus sistemas e softwares é tão importante que poderia ter evitado a grande pane causada por este ransomware.
O que foi o ataque WannaCry?
Você não leu o último parágrafo errado e provavelmente já ouviu falar nele: o WannaCry ransomware causou um susto em todo o mundo, poucos dias depois de ser descoberto. O malware foi responsável pelo maior ataque do resgate já visto e infectou cerca de 200 mil computadores em todo o mundo.
Boa parte do seu sucesso se deveu a sistemas operacionais desatualizados e pirateados. O fato de que a maioria das instituições, corporações e agências governamentais executavam uma versão não suportada do Windows (mais especificamente o Windows XP) serviu de ignição a esses milhares de ataques.
Além disso, uma cultura pesada de pirataria de software em países como China, Índia e Rússia tiveram um grande papel no apagão causado pelo WannaCry. A melhor maneira de evitar ataques como esse é se proteger antecipadamente, por isso coloque em prática as dicas que viu aqui para maximizar a segurança de seus dados, arquivos e apps.
Conseguiu entender melhor como funciona o ransomware, o que ele pode fazer com seus equipamentos e de que maneiras a sua empresa pode se proteger? Esperamos que sim. Se gostou desse conteúdo, siga a Alerta Security no Facebook e Twitter agora mesmo e receba outras dicas relevantes para a sua segurança online!