O guia completo do ransomware

Written By: Ontrack

Date Published: Novembro 27, 2024

O guia completo do ransomware

  • ransomware-1

    O que é o ransomware? O guia completo

    O ransomware é uma forma de software malicioso concebido para bloquear o acesso a um sistema informático ou publicar os dados da vítima online. O atacante exige um resgate da vítima, prometendo - nem sempre de forma verdadeira - restaurar o acesso aos dados mediante pagamento.

    Desde os anos 80, a última década assistiu a um aumento de vários Trojans ransomware, mas a verdadeira oportunidade para os atacantes aumentou desde a introdução da Bitcoin. Esta moeda criptográfica permite que os atacantes recolham facilmente dinheiro das suas vítimas sem passar pelos canais tradicionais.

    Ataque de ransomware: Como é que o cibercriminoso entra em ação?

    Um ataque de ransomware começa quando um software malicioso é descarregado para um dispositivo. Exemplos de tipos de dispositivos são computadores portáteis, smartphones ou computadores de secretária. O software malicioso é normalmente descarregado devido a um erro do utilizador ou a protocolos de segurança inadequados.

Correio de phishing (Spear)

O sistema de entrega mais comum para o ransomware é um e-mail de phishing que inclui um anexo ou uma ligação.

Páginas Web infectadas e Malvertising/Adware

Os URL infectados são normalmente utilizados para distribuir ransomware. Clicar numa destas ligações, seja através de um e-mail ou de um site não verificado, pode desencadear automaticamente um descarregamento de ransomware para o seu disco rígido, também conhecido como "descarregamento drive-by". A simples visita ao site sem descarregar nada pode levar a um ataque de ransomware.

Pontos de acesso remoto (RDP)

Um número crescente de ataques está a obter acesso a uma empresa que tem pontos de acesso remoto abertos e expostos, como o RDP e a computação em rede virtual (VNC). As credenciais RDP podem ser obtidas por força bruta, através de fugas de palavras-passe ou simplesmente compradas em mercados clandestinos. Enquanto que no passado os criminosos de ransomware criavam um ambiente de comando e controlo para o ransomware e as chaves de desencriptação, a maioria dos criminosos aborda agora as vítimas com notas de resgate que incluem um endereço de serviço de correio eletrónico anónimo, permitindo que os maus actores permaneçam mais bem escondidos.

Quando o ransomware infecta um sistema, assume o controlo do processo crítico do dispositivo; procura ficheiros para encriptar; o malware baralha todos os dados no dispositivo ou elimina os ficheiros que não consegue encriptar. Pode infetar quaisquer dispositivos externos ligados à máquina anfitriã. Para ataques mais sofisticados, este é apenas o início de uma série de eventos, conforme descrito na estrutura Lockheed Martin Cyber Kill Chain® e na base de conhecimentos MITRE ATT&CK®.

 

Diferentes tácticas de ransomware

O ransomware é também designado por software de extorsão. Os cibercriminosos utilizam diferentes tácticas para obter dinheiro.

Encriptação de dados

Em muitos casos, os especialistas também falam de trojans de encriptação, uma vez que a extorsão se baseia no facto de os dados estarem inextricavelmente codificados e inacessíveis ao utilizador. Promessa de chave de desencriptação em troca de dinheiro.

Roubo de dados exfiltração Leak ware ou Dox ware

Outro tipo de malware é o chamado leak ware ou Dox ware. Neste caso, o atacante ameaça libertar dados sensíveis no disco rígido da vítima, a menos que seja pago um resgate. Muitas vezes visando e-mails e documentos do Word, também houve casos de variantes móveis em que foram divulgadas mensagens privadas, fotografias e listas de contactos dos telefones dos utilizadores.

O Dox ware é reconhecido como um malware mais eficaz do que o ransomware - em termos de obter o dinheiro da vítima. Com o ransomware, é possível manter cópias de segurança separadas dos dados que já não estão acessíveis, mas com o Dox ware, uma vez que um atacante tem informações que a vítima não quer que sejam tornadas públicas, há pouco a fazer para além de pagar.

Bloqueio

Também tem havido casos em que o malware exibe uma mensagem afirmando que o "Windows" do utilizador está bloqueado. O utilizador é então encorajado a ligar para um número de telefone da "Microsoft" e a introduzir um código de seis dígitos para reativar o sistema. A mensagem alega que a chamada telefónica é gratuita, mas isso não é verdade. Enquanto está ao telefone a ligar para a falsa "Microsoft", o utilizador acumula custos de chamadas de longa distância.

Wiper

Malware com o único objetivo de destruir permanentemente o acesso aos dados.

Extorsão dupla e tripla

Com o tempo, surgiram novas tácticas que combinam a encriptação de dados com o roubo de dados (extorsão dupla) e a realização de um ataque de negação de serviço distribuído (DDoS) (extorsão tripla).

 

Grupos e variantes de ameaças de ransomware

A ameaça provém de diferentes tipos de intervenientes com diferentes motivações e níveis de competências, que vão desde intervenientes do Estado-nação, criminosos, hacktivistas, "script kiddies"/procuradores de emoções e infiltrados. Diferentes grupos de ameaças desenvolveram muitas variantes diferentes de ransomware, com novas variantes a serem criadas a toda a hora. Estes grupos especializam-se e colaboram frequentemente entre si.

Alguns exemplos de algumas variantes de ransomware famosas desenvolvidas por estes grupos nos últimos anos:
2024 AKIRA, ransomware SEXi
2023 Lockbit, AlpVM, Clop (por vezes escrito "Cl0p", Royal
2022 BlackBasta
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker

Uma visão geral abrangente dos grupos de ameaças e variantes pode ser encontrada aqui: https://github.com/cert-orangecyberdefense/ransomware_map

Sou um alvo de ransomware?

No mundo online de hoje, a questão não é se uma organização será atacada, mas quando e quão bem preparada estará.

Se ler as notícias, terá notado que organizações de vários sectores e indústrias diferentes foram vítimas de ataques de ransomware. Desde os cuidados de saúde até às companhias aéreas, os atacantes não parecem ter preferência por quem visam, ou será que têm?

Normalmente, um atacante escolhe uma organização para atacar com base em dois factores:
1. Oportunidade
2. Potencial ganho financeiro

Oportunidade
Se uma organização tiver uma pequena equipa de segurança, não tiver recursos de TI e tiver uma base de utilizadores que partilhe muitos ficheiros, ou seja, uma universidade, um atacante pode considerá-la um alvo fácil.

Potencial ganho financeiro
As organizações que necessitam de acesso imediato aos seus ficheiros, por exemplo, escritórios de advogados ou agências governamentais, podem estar mais dispostas a pagar rapidamente um resgate. As organizações com dados sensíveis também podem estar dispostas a pagar para manter a notícia da violação de dados em segredo.

Devo pagar o resgate?

Seria de esperar que o pagamento de um resgate para obter acesso aos seus dados fosse suficientemente mau, mas isso pode ser insignificante em comparação com os custos dos danos reais envolvidos num ataque. As implicações adicionais incluem:
- Danos e destruição (ou perda) de dados
- Perda de produtividade
- Perturbação do funcionamento normal da empresa após o ataque
- Investigação forense
- Restauração e eliminação de dados e sistemas reféns
- Danos à reputação
- Formação dos empregados em resposta direta aos ataques

Tendo em conta o que precede, não é de admirar que se preveja um aumento dos danos causados pelo ransomware. Quando se fala com especialistas em cibercrime, a maioria aconselha a não pagar os resgates, uma vez que o financiamento dos atacantes de ransomware apenas ajudará a criar mais ransomware, embora muitas organizações contrariem este conselho, ponderando o custo dos dados encriptados em relação ao resgate pedido. Mas porque é que as organizações pagam aos seus atacantes?

Embora a recusa de pagamento do ransomware seja sugerida para a comunidade empresarial em geral, recusar o pagamento pode não ser a melhor forma de atuação para a própria empresa. Quando existe a possibilidade de a empresa perder permanentemente o acesso a dados vitais, incorrer em multas por parte das entidades reguladoras ou fechar completamente o negócio, as opções das empresas podem parecer sombrias. A escolha entre pagar um resgate relativamente modesto e manter-se em atividade ou recusar-se a pagar para ajudar a comunidade empresarial em geral é, para a maioria, uma escolha óbvia. Nalguns casos de ransomware, o resgate exigido é muitas vezes fixado num valor que vale a pena para o atacante, mas suficientemente baixo para que seja mais barato do que uma vítima pagar para reconstruir os seus dados perdidos. Por vezes, também são oferecidos descontos se a vítima pagar dentro de um determinado período de tempo, por exemplo, 3 dias.

Tendo isso em conta, algumas empresas estão a criar reservas de Bitcoin especificamente para pagamentos de resgates.

Como evitar um ataque de ransomware

As variantes de ransomware têm como alvo diferentes sectores de atividade. Quem estiver em risco deve tomar precauções para reduzir o risco e diminuir os efeitos de um ataque. Um dos planos mais importantes que a sua organização deve ter em vigor é um plano de recuperação de desastres. Se não tiver um plano de recuperação de desastres, é provável que as consequências sejam graves. Muitas empresas que sofrem perda de dados e tempo de inatividade durante dez ou mais dias pedem falência no prazo de 12 meses.

Plano de recuperação de desastres

Um plano de recuperação de desastres descreve vários cenários para retomar o trabalho rapidamente após um desastre, ou seja, um ataque de ransomware. Uma parte essencial do plano de continuidade das actividades de uma organização deve permitir uma recuperação informática suficiente e a prevenção da perda de dados. Um plano de recuperação de desastres descreve uma variedade de cenários para retomar o trabalho rapidamente após um desastre, ou seja, um ataque de ransomware. Uma parte vital do plano de continuidade das actividades de uma organização deve incluir um plano de recuperação de desastres que permita uma recuperação de TI suficiente e a prevenção da perda de dados.

Lembre-se de manter o plano atualizado e também algumas versões impressas. Porque se estiver num servidor ou numa unidade encriptada, até o melhor plano de emergência é inútil. Se não tiver um plano de recuperação de desastres, pode descarregar o nosso modelo gratuito aqui.

Outras recomendações incluem:

  1. Certifique-se de que tem cópias de segurança actualizadas - desta forma, se algo acontecer, o restauro dos seus ficheiros a partir de uma cópia de segurança é a forma mais rápida de recuperar o acesso aos seus dados.

  2. Estar preparado, testando regularmente as cópias de segurança. As organizações têm de estar familiarizadas com o que está armazenado nos arquivos de cópia de segurança e garantir que os dados mais críticos estão acessíveis, caso o ransomware vise as cópias de segurança.

  3. Realizar formação de utilizadores para garantir que todos os funcionários conseguem detetar um potencial ataque. Certifique-se de que os funcionários estão cientes das melhores práticas para evitar o descarregamento acidental de ransomware ou a abertura da rede a estranhos.

  4. Implementar políticas de segurança. Utilize o software antivírus, antimalware e de deteção de pontos finais mais recente e monitorize-o de forma consistente para evitar infecções.

  5. Certifique-se de que dispõe de verificação e filtragem de conteúdos nos seus servidores de correio eletrónico. Analise todas as mensagens de correio eletrónico recebidas para detetar ameaças conhecidas e bloqueie todos os tipos de anexos que possam constituir uma ameaça.

  6. Desenvolver políticas de TI que limitem as infecções noutros recursos da rede. As empresas devem implementar salvaguardas para que, se um dispositivo for infetado com ransomware, este não se propague por toda a rede.

  7. Assegurar os recursos de equipas especializadas em incidentes e especialistas em recuperação de dados Ontrack em tempos calmos com contratos de serviço principal para uma emergência.

  8. A comunicação é fundamental durante a crise. Crie endereços de e-mail para uso em emergências (para os tomadores de decisão mais importantes) que são separados do ambiente da empresa, por exemplo, com um provedor de e-mail gratuito na nuvem, como gmx. yahoo etc. Insira estes, incluindo os dados de login, no plano de emergência. Um grupo de whatsapp para toda a empresa também tem sido fundamental para as empresas afectadas. Um servidor externo de partilha de ficheiros também é útil, pois acelera e facilita a comunicação após um incidente.

Reduzir a exposição ao risco cibernético: gerir o ciclo de vida dos dados

A gestão dos dados ao longo do seu ciclo de vida não é frequentemente considerada por muitas organizações. Mas sem uma estratégia de ciclo de vida dos dados, uma organização está a expor-se a sérios riscos e custos de segurança. Atualmente, o custo de uma proteção ineficaz dos dados tem um preço "demasiado elevado".

As violações de dados, a reputação prejudicada, a perda de clientes, o tempo de inatividade e as grandes multas são riscos potenciais para uma organização que não gere eficazmente o ciclo de vida dos seus dados. As organizações que investem os esforços e os recursos necessários na gestão do ciclo de vida dos dados podem minimizar os riscos e os custos dos seus dados críticos para a empresa em todas as fases.

Como o Ontrack tem ajudado organizações atingidas por ransomware

Na Ontrack, estamos continuamente rastreando diferentes tipos de ransomware. O ransomware muda e se desenvolve o tempo todo, então queremos ter certeza de que estamos observando e estudando as últimas mudanças e avanços. O estudo do ransomware e das suas formas em constante mudança proporciona conhecimentos e experiência adicionais, o que aumenta a probabilidade de recuperarmos os dados perdidos em resultado de um ataque. Quando se trata de dados inacessíveis, é sempre melhor contactar um especialista. Se você se encontrar sob ataque de ransomware, contacte um especialista como a Ontrack para ajudá-lo a obter acesso aos seus dados.

Abaixo estão alguns exemplos de casos bem-sucedidos de recuperação de dados de ransomware que concluímos.

Ataque cibernético em datastore VMware e backups virtuais

Recuperação de dados de arquivos virtuais infectados por malware

Bases de dados hospitalares recuperadas de ransomware

Fundir ficheiros de cópias de segurança danificadas com ficheiros virtuais correspondentes

Base de dados MS SQL recuperada de cópia de segurança virtual encriptada no QNAP

Tirar partido dos erros dos hackers num ataque de ransomware

 

Visite a nossa página de recuperação de ransomware

Subscrever

KLDiscovery Ontrack SL, Pº del Club Deportivo 1, edif. 4, 1ª planta, Pozuelo de Alarcón, Madrid, 28223, España (Mostrar todas las ubicaciones)