Os ataques de ransomware estão aumentando – 8 etapas para você se manter seguro

Os ataques de ransomware podem bloquear seu acesso ao computador em questão de segundos. E o pior? Mesmo que você pague o resgate, não há garantia de que recuperará seus dados ou seu dinheiro.

E, graças à IA, os criminosos cibernéticos estão aprimorando suas técnicas de ataque, e ninguém está completamente seguro.

Seja você um indivíduo ou uma organização, estamos aqui para guiá-lo em tudo o que precisa saber sobre ransomware, incluindo:

• Como funcionam os ataques de ransomware;
• Como identificar um ataque de ransomware;
• 8 etapas práticas que você pode adotar hoje mesmo para proteger seus arquivos contra hackers.

Vamos direto ao assunto.

O que é um ataque de ransomware?

Ransomware é uma combinação das palavras ransom (resgate) e software. Em essência, é um tipo programa malicioso que “bloqueia” seu computador até que você pague um resgate.

Mais especificamente, um ataque de ransomware criptografa ou “embaralha” seus arquivos — sejam documentos, vídeos, fotos ou dados armazenados em aplicativos. Precisa editar um relatório financeiro? Não conseguirá abri-lo. Quer assistir a um vídeo das férias em família? Também estará inacessível.

Os criminosos entrarão em contato com você, exigindo um resgate em troca da chave de descriptografia que promete restaurar o acesso aos seus arquivos. No entanto, há vários problemas nesse cenário:

• Em primeiro lugar, o resgate não é barato. O pagamento médio do ransomware foi estimado em US$ 2 milhões em 2024, de acordo com o relatório State of Ransomware 2024 da Sophos;
  
• No entanto, recentemente, os hackers começaram a adaptar os valores dos resgates ao perfil de suas vítimas. Em alguns casos, podem pedir apenas alguns milhares de dólares para aumentar a probabilidade de pagamento.
  
• Por fim, o que garante que os hackers realmente darão a você acesso aos seus dados? Eles podem simplesmente exigir mais dinheiro ou desaparecer sem resolver o problema.

Isso torna os ataques de ransomware algo estressante para se lidar. Se você for uma vítima, talvez nem sempre haja uma maneira de recuperar seus dados (mas falaremos mais sobre isso depois).

O ransomware, assim como outros tipos de vírus, geralmente chega ao seu computador por meio de e-mails de phishing. Além disso, os criminosos usam técnicas de engenharia social para enganar as vítimas e fazê-las instalar o software malicioso sem perceber.

Os ataques de ransomware podem ser classificados em dois tipos principais:

• Ransomware de criptografia: Esse tipo de ataque utiliza algoritmos de criptografia avançados para tornar seus arquivos ilegíveis. As vítimas são então pressionadas a pagar um resgate para obter a chave que descriptografa os dados bloqueados.
  
• Locker ransomware: Aqui, o foco é bloquear o acesso ao sistema operacional. A vítima é impedida de acessar a área de trabalho, aplicativos ou arquivos. O pagamento do resgate é exigido para “desbloquear” o sistema.

3 exemplos reais de ataques de ransomware

É importante entender que os ataques de ransomware podem atingir tanto empresas quanto pessoas físicas. Nos próximos exemplos, analisaremos vários casos de alto perfil, como eles ocorreram e as vulnerabilidades que exploraram.

O ataque ao oleoduto colonial

Em maio de 2021, o ataque de ransomware à Colonial Pipeline tornou-se notícia de primeira página em todos os EUA.

A Colonial Pipeline, um dos maiores fornecedores de combustível dos EUA, foi vítima do ransomware DarkSide, um malware sofisticado desenvolvido por um suposto grupo russo de criminosos cibernéticos.

Graças a uma única senha comprometida que vazou na dark web, os invasores obtiveram acesso à rede de TI da Colonial Pipeline. Além disso, algumas das vulnerabilidades que possibilitaram o ataque incluíam:

• Falta de autenticação multifatorial (MFA ou 2FA): A conta violada tinha apenas uma senha para proteção, facilitando a entrada de invasores.
  
• Arquitetura de rede plana: Os sistemas de TI estavam interconectados, permitindo que o ataque de ransomware se espalhasse mais profundamente na infraestrutura crítica.
  
• Atraso na resposta ao incidente: A empresa descobriu a violação em 7 de maio de 2021, mas demorou a responder, permitindo que o malware se espalhasse e criptografasse dados essenciais.

Esse ataque de ransomware teve grandes consequências para o público americano, forçando o desligamento de toda a rede de distribuição de combustível e causando escassez de gás em toda a costa leste dos EUA.

Em coordenação com o FBI, a Colonial Pipeline acabou pagando US$ 4,4 milhões em Bitcoin. Cerca de metade do valor dos bitcoins foi recuperado posteriormente.

Para mais detalhes, consulte o site do Departamento de Justiça dos EUA.

A epidemia de ransomware WannaCry

O surto de ransomware WannaCry em maio de 2017 (também conhecido como WannaCrypt) foi um dos ataques cibernéticos mais difundidos da história, infectando mais de 300.000 computadores em mais de 150 países em um único dia.

O ataque foi impulsionado por uma vulnerabilidade do Windows chamada EternalBlue, que foi roubada da Agência de Segurança Nacional dos EUA (NSA) e vazada por um grupo de hackers chamado The Shadow Brokers.

O WannaCry é o que chamamos de “ransomware cryptoworm”:

• Após infectar um computador, ele exigia um resgate a ser pago em Bitcoin (“criptomoeda”);
• Ele também foi capaz de se espalhar de forma autônoma (“-worm”).

Algumas das vulnerabilidades exploradas durante esse ataque incluem:

• Sistemas Windows desatualizados: O WannaCry tinha como alvo computadores que executavam versões desatualizadas do Windows (Windows 7, XP, Server 2003) que não tinham atualizações críticas de segurança.
  
• Malware autorreplicante: Ao contrário dos ataques típicos de ransomware, o WannaCry se espalhou de forma autônoma, permitindo que ele infectasse redes inteiras sem a interação do usuário.
  
• Resposta lenta das organizações: A Microsoft havia lançado um patch de segurança (MS17-010) dois meses antes do ataque, mas muitas organizações não conseguiram atualizar seus sistemas a tempo.

No Reino Unido, o ataque do ransomware WannaCry paralisou o Serviço Nacional de Saúde (NHS), fechando dezenas de hospitais.

Muitas empresas multinacionais, como a FedEx e a Nissan, também foram forçadas a interromper suas operações. O ataque foi posteriormente atribuído ao Lazarus Group da Coreia do Norte, que usou os pagamentos de resgate para financiar outras operações de guerra cibernética.

Para mais informações, consulte a postagem de blog dedicada da Microsoft.

O ataque do VSA da Kaseya

Em julho de 2021, o ransomware desenvolvido pelo grupo REvil foi usado para explorar uma vulnerabilidade de dia zero no Kaseya VSA, um software de gerenciamento remoto de TI usado por milhares de empresas em todo o mundo.

Ao invadir o sistema centralizado de distribuição de software da Kaseya, o REvil conseguiu enviar atualizações de ransomware para os clientes da Kaseya, infectando mais de 1.500 empresas de uma só vez.

O ataque de ransomware se baseou em várias vulnerabilidades importantes:

• Falha não corrigida: Os invasores descobriram e exploraram uma falha não corrigida no software da Kaseya antes que a empresa pudesse solucioná-la;
  
• Ataque à cadeia de suprimentos: O Kaseya VSA era uma ferramenta de gerenciamento remoto confiável e, portanto, tinha acesso direto aos sistemas dos clientes, facilitando a distribuição de malware sem acionar alertas de segurança.
  
• Falata de segmentação nas redes de TI: Muitas empresas afetadas não tinham separação entre as ferramentas de gerenciamento de TI e os sistemas essenciais, permitindo que o ataque se espalhasse rapidamente pelas redes.

O que tornou esse ataque diferente dos outros que cobrimos é como o ransomware como serviço (RaaS) é usado para dimensionar o crime cibernético.

Em um modelo RaaS, os desenvolvedores de ransomware criam o malware, mas dependem de afiliados para implantá-lo. Nesse caso, a REvil opera basicamente como uma empresa SaaS criminosa, vendendo acesso às suas ferramentas de ransomware em troca de uma porcentagem dos pagamentos de resgate. As afiliadas da REvil eram responsáveis por atacar e violar os sistemas da Kaseya. Em troca, os afiliados ficavam com uma parte (geralmente de 60 a 80%) de qualquer resgate pago, enquanto a REvil ficava com o restante.

No total, mais de 1.500 empresas em todo o mundo foram infectadas, incluindo supermercados, empresas de TI e instituições financeiras.

O impacto da IA nos ataques de ransomware

O advento do ChatGPT e a popularização em massa da IA generativa em 2022 revolucionaram muitos setores. Os criminosos cibernéticos não estão isentos dessa tendência e adotaram maciçamente o uso de IA para refinar os ataques.

Aqui estão cinco maneiras pelas quais a IA está ajudando os invasores a tornar seus ataques de ransomware mais sofisticados.

E-mails de phishing altamente personalizados

Conforme explicado anteriormente, os e-mails de phishing continuam sendo um dos principais vetores para ataques de ransomware.

Agora, a IA pode analisar com eficiência mídias sociais, e-mails e bancos de dados vazados para criar mensagens de phishing personalizadas que parecem altamente convincentes. Em vez de spam genérico, as vítimas recebem e-mails que imitam conversas reais, faturas ou alertas de segurança urgentes.

Ransomware polimórfico

O ransomware tradicional é mais fácil de detectar porque segue padrões conhecidos. O ransomware polimórfico orientado por IA muda constantemente seu código, tornando-o invisível para programas antivírus baseados em assinaturas. Cada infecção é ligeiramente diferente, o que torna quase impossível colocá-la em uma lista negra.

Seleção e implantação automatizadas de alvos

A IA analisa enormes conjuntos de dados em tempo real, identificando empresas vulneráveis com segurança cibernética fraca e priorizando alvos de alto valor. Os criminosos cibernéticos podem então lançar ataques em várias empresas simultaneamente, maximizando o lucro com o mínimo de esforço.

Além disso, os bots com tecnologia de IA podem se infiltrar automaticamente em redes corporativas, procurar vulnerabilidades e implantar ransomware sem intervenção humana.

O uso de ferramentas de hacking com tecnologia de IA levou a um aumento nos ataques de ransomware totalmente automatizados, que exigem menos conhecimento humano para serem executados.

Evasão com tecnologia de IA

As ferramentas modernas de segurança cibernética dependem do aprendizado de máquina para detectar padrões de ransomware, mas os invasores estão usando IA contra IA para evitar a detecção.

Por exemplo, os criminosos cibernéticos podem treinar seu ransomware contra ferramentas de segurança com tecnologia de IA, testando diferentes métodos de ataque até contornar a detecção.

Alguns ransomwares orientados por IA falsificam a criptografia no início, enganando as ferramentas de segurança e fazendo-as acreditar que o ataque foi interrompido, enquanto continuam a criptografar arquivos em modo furtivo.

Negociação de resgate

A IA está até mesmo mudando a forma como os criminosos cibernéticos negociam resgates, tornando seus ataques mais eficazes e psicologicamente manipuladores.

Em vez de hackers humanos lidarem com as negociações, os bots agora estão sendo usados para se comunicar com as vítimas.

Esses bots analisam as respostas das vítimas, ajustam os pedidos de resgate e pressionam as empresas a pagar mais rapidamente.

A IA também é usada para examinar registros financeiros, apólices de seguro e relatórios de ganhos públicos para calcular o resgate mais alto que uma empresa pode pagar.

Você foi vítima de um ataque de ransomware: O que você pode fazer?

Você foi vítima de um ataque de ransomware? Então você deve seguir imediatamente estas 3 etapas:

1. Interrompa a propagação: A primeira ação é interromper o ataque. O ransomware pode infectar rapidamente redes inteiras, portanto, cada segundo é importante. Desconecte imediatamente seu dispositivo do Wi-Fi, Ethernet e unidades de armazenamento externo (USBs, unidades de backup). Se você estiver em uma rede corporativa, alerte a segurança de TI imediatamente para que eles possam conter a ameaça antes que ela prejudique todo o sistema.
   
2. Conheça seu inimigo: Nem todos os ataques de ransomware são iguais. Alguns usam ferramentas de descriptografia conhecidas, enquanto outros podem excluir seus arquivos permanentemente, mesmo que você pague. Faça uma captura de tela da nota de resgate, pois ela geralmente contém pistas sobre o ataque. Em seguida, use ferramentas on-line como o ID Ransomware(https://id-ransomware.malwarehunterteam.com/) para identificar a variante do ransomware. Você também pode consultar o No More Ransom Project (https://www.nomoreransom.org/) para verificar se existe uma ferramenta de descriptografia gratuita.
   
3. Relate o ataque: Antes de pagar qualquer resgate, envolva profissionais de segurança cibernética e autoridades policiais. O pagamento não garante a recuperação de arquivos. Denuncie o ataque ao Internet Crime Complaint Center (IC3) do FBI(https://www.ic3.gov/), bem como à agência de segurança cibernética do seu país (CISA nos EUA, Europol, etc.). Por fim, envolva sua equipe de TI ou seu provedor de segurança cibernética.

No entanto, lembre-se de que nem todo ransomware pode ser descriptografado de volta. Em muitos ataques de ransomware, infelizmente, os dados são perdidos. É por isso que a prevenção continua sendo sua melhor linha de proteção contra ataques futuros.

8 dicas para evitar ataques de ransomware

A esta altura, você já deve ter entendido a ameaça muito real que os ataques de ransomware representam. Então, vamos ver 8 dicas fáceis de seguir que você pode colocar em prática para evitar esses ataques.

#Nº 1: Faça backups regulares

Os backups são, de longe, a melhor maneira de se proteger contra ataques de ransomware… desde que você os faça com eficiência.

Para cada backup, é fundamental fazer várias cópias dos seus arquivos e mantê-las em mídias diferentes. O ideal é que você armazene cada uma delas separadamente e em locais diferentes. Mantenha uma delas off-line (em um disco externo seguro) e outra em um serviço de nuvem seguro e privado.

Além disso, evite deixar a mídia de backup (por exemplo, disco rígido externo) conectada ao sistema do computador após o backup. Em caso de infecção do sistema, a unidade externa também corre o risco de ser infectada, tornando o backup inútil.

Leia nossas dicas para fazer backup de seus dados com segurança para ter certeza de que você fará backups eficientes!

#Nº 2: Use softwares atualizados

As atualizações de software geralmente contêm “patches de segurança” destinados a solucionar vulnerabilidades que os hackers poderiam explorar para lançar ataques cibernéticos (inclusive ataques de ransomware).

Por isso, é essencial que você faça o download das atualizações desses softwares, dispositivos e periféricos imediatamente após receber a notificação de sua existência. Porque, se você recebeu essa notificação, não é o único… Agora, os hackers sabem que há uma falha no dispositivo ou no software em questão.

Outra boa ideia é restringir os programas instalados em seu computador ou sistema ao mínimo necessário. Desinstale qualquer software não utilizado. Não se esqueça de remover também os plug-ins desatualizados de seu navegador. Isso também se aplica ao seu smartphone: desinstale todos os aplicativos que você não usa mais.

#Nº 3: Use o princípio do menor privilégio (PoLP)

Para evitar ataques de ransomware, você também pode seguir o PoLP. Isso significa dividir o uso do seu dispositivo/sistema de computador em duas contas separadas:

• Uma conta padrão que você usará diariamente, incluindo as funcionalidades mínimas;
  
• Uma conta de administrador que permite que você acesse o núcleo do seu dispositivo/sistema de TI (para alterar configurações, instalar ou remover software, por exemplo). Ela lhe dará todos os privilégios operacionais no sistema e você fará login nela somente quando precisar executar essas tarefas.

No caso de um ataque de ransomware, os danos serão limitados à sua conta padrão. O ransomware não conseguirá acessar os principais componentes do seu computador porque esses acessos são controlados pela conta de administrador.

#Nº 4: Aprenda a detectar e evitar tentativas de phishing

Muitos ataques de ransomware são iniciados por e-mails de phishing, spear-phishing ou whaling , ou smishing. E, geralmente, é por meio do download de um anexo contido nessas mensagens que as vítimas permitem que o ransomware invada seu computador, telefone ou sistema de computador.

É por isso que você só deve abrir anexos e links emitidos por fontes realmente confiáveis. Para garantir que você siga esse conselho, evite clicar em um link em um e-mail. Até mesmo uma menção aparentemente inocente, como “clique aqui para cancelar a assinatura/deixar de seguir”, pode esconder o temido ransomware. Em vez disso, faça logon no site relevante usando o URL que você costuma usar.

#Nº 5: Diga não às macros

Nunca abra um arquivo do Microsoft Office que contenha macros sem ter obtido previamente a confirmação do remetente da mensagem de que o arquivo realmente vem dele e que essas macros não são prejudiciais.

#Nº 6: Instale um antivírus de boa reputação para detectar ataques de ransomware

Não é preciso dizer que você deve proteger seu dispositivo contra malware com um antivírus. Infelizmente, a proteção oferecida será limitada, pois um antivírus só pode reconhecer malware já detectado em outro lugar. Mas, pelo menos, você pode evitar ataques de ransomware já conhecidos, o que já é uma coisa boa.

#Nº 7: Use uma VPN

É útil usar uma VPN ao navegar em redes Wi-Fi públicas. De fato, essas redes não oferecem proteção contra hackers e, por esse motivo, são muito populares entre eles. O uso de uma VPN evitará a interceptação de dados em potencial que poderia ser usada para se infiltrar nos dispositivos ou no sistema do computador.

#Nº 8: Use uma máquina virtual

As máquinas virtuais são usadas principalmente para duplicar um sistema de TI para testar um novo software ou executar dois sistemas operacionais separados no mesmo computador.

Mas eles também podem ser usados para evitar qualquer ataque de software mal-intencionado. Nesse sentido, elas podem ajudar você a evitar ataques de ransomware. No entanto, você deve saber que elas nem sempre são eficazes. Um ransomware potente pode ser particularmente perigoso.

Prevenção de ataques de ransomware: Como o Mailfence pode ajudar

Com isso, você terminou este guia sobre ataques de ransomware! Esperamos que agora você tenha uma melhor compreensão de como esses ataques funcionam e o que pode fazer para se proteger.

Você está pronto para levar a sua segurança cibernética pessoal para o próximo nível?

Então, seu primeiro passo deve ser obter um provedor de e-mail privado e seguro. Ao contrário do Gmail ou do Yahoo, o Mailfence coloca sua privacidade e segurança acima dos lucros. Em particular, temos orgulho de oferecer a você:

• Ferramentas de segurança avançadas: criptografia de ponta a ponta, criptografia simétrica, assinaturas digitais e muito mais.
  
• Sem rastreamento ou publicidade. Não usamos nenhum rastreador de publicidade ou marketing de terceiros. Não rastreamos sua atividade no aplicativo. O Mailfence é totalmente livre de anúncios.
  
• Leis de privacidade rígidas. Os servidores do Mailfence estão localizados na Bélgica, onde há leis rigorosas de proteção à privacidade. Somente uma ordem judicial belga válida pode nos obrigar a liberar dados.

Pronto para levar sua privacidade e segurança cibernética ao próximo nível? Crie sua conta gratuita hoje mesmo!