Ransomware: por que o ataque hacker que sequestra dados está na moda?

Você tenta abrir uma pasta de documentos importantes em seu computador e recebe uma mensagem dizendo que ela foi “sequestrada” e só será devolvida após pagamento de resgate. Parece piada, mas esse tipo de ameaça tem nome: ransomware.

O mais famoso ataque virtual desse tipo foi o Wannacry, que em maio de 2017 sequestrou sistemas em diversos países, afetando mais de 700 mil pessoas, entre consumidores, empresas, hospitais e até departamentos governamentais.

De acordo com dados do Kaspersky Lab, desde então mais dois grandes surtos de malwares do tipo aconteceram: o Expetr, em 27 de junho, e Badrabbit, no final de outubro.

Os alvos principais são as redes corporativas (26,2%), mas pequenos golpes viram uma coisa corriqueira entre os comerciantes e prestadores de serviços, como restaurantes.

Cerca de metade das empresas brasileiras já sofreu algum tipo de ataque do tipo, de acordo com pesquisa da Trend Micro divulgada no ano passado, que ouviu cerca de 300 empresas no Brasil e mais de 200 em outros países latino-americanos.

Segundo os especialistas em segurança, 65% dos negócios atingidos em 2017 perderam acesso a todos ou quase todos seus arquivos. Pior, uma em cada seis empresas que pagaram pelo resgate nunca recuperaram seus dados.

E aqui está um dos motivos para que o ataque tenha se popularizado: ele é fácil de acontecer, deixa a vítima refém, porque há bem pouco a fazer contra ele, e o retorno financeiro para o criminoso é rápido.

“A facilidade para pagamento do resgate em bitcoins (moeda digital) traz um retorno financeiro para o atacante muito mais rápido do que outras modalidades de crime”, explica Franzvitor Fiorim, especialista da Trend Micro.

A pesquisa também constatou que as empresas confiam muito nos dados de backup nos servidores e desktops (80% dos entrevistados) como a principal defesa contra ransomwares.

Os primeiros ransomwares ainda permitiam o uso de ferramentas para recuperar o acesso aos arquivos. Hoje, o número de famílias e variações desse tipo de ameaça é muito grande, o que inviabiliza tentativas de restaurar os arquivos afetados .

Thiago Marques, analista de segurança da Kaspersky Lab

A notícia é especialmente preocupante para os brasileiros, já que o país lidera o ranking de casos envolvendo ransomware na América Latina.

Como funciona?

Os cibercriminosos acessam remotamente o computador da vítima, criptografam os arquivos e dizem que só vão devolver o acesso aos dados após o pagamento de um resgate, normalmente feito em bitcoins.

Uma das razões para os ransomwares serem uma das modalidades preferidas dos criminosos é a sua simplicidade. Marques explica:

Ao contrário do que acontece com os trojans, os ransomwares não roubam uma informação, mas as inutilizam. A ideia de quem está por trás do ataque é mirar em arquivos potencialmente valiosos, como documentos, fotos etc

Além de mirar dados específicos, há também ransomwares que simplesmente criptografam todo o disco da vítima. Neste caso, a mensagem do ocorrido aparece ao ligar o computador, antes do sistema operacional entrar em funcionamento.

Outra “vantagem” para o criminoso é que é muito difícil descobrir a origem do ataque. “Em geral eles pedem que o resgate seja pago usando criptomoedas, o que diminui o risco de identificação”, explica o especialista, que orienta a nunca fazer pagamentos.

A solução, portanto, depende de sorte: caso o ransomware não tiver uma “cura” desenvolvida, a única solução é apagar os dados e perdê-los permanentemente. Ou seja, backups podem salvar a sua vida.

Por fim, a “contaminação” nem sempre depende da ação do usuário. Há casos em que ela ocorre por vias “comuns”, como clicar em links maliciosos. Mas também há situações nas quais os ransomwares são simplesmente distribuídos pela internet e se aproveitam de vulnerabilidades nos computadores. O Wannacry se enquadra neste último caso.

A única possibilidade de evitar o problema é utilizar antivírus que monitorem a navegação pela internet. Em geral, produtos de marcas como Kaspersky, Norton e McAfee oferecem proteção contra essa ameaça.

E os celulares?

Os ransonware passam longe de serem uma ameaça exclusiva para computadores.

Hoje há três famílias de ransonware para smartphones. Cada um age de maneira diferente, seja criptografando arquivos do usuário, travando a tela do aparelho ou, ainda, bloqueando fotos, especialmente íntimas, e ameaçando enviar o material para todos os contatos da vítima.

Emilio Simoni, diretor do DFNDR Lab, laboratório da PSafe especializado em cibercrime

Em todos os casos, claro, há a cobrança de um “resgate” para que a ação não seja tomada.

No caso dos celulares, a infecção por ransonware também pode ocorrer ao se clicar em links maliciosos. Há, porém, uma isca mais eficiente. “Muitas vezes são criadas versões falsas e gratuitas de aplicativos que, geralmente, são pagos. Quando instalados, eles infectam o dispositivo”, explica o especialista.

O procedimento é o mesmo. Há a opção de formatar o celular – e perder os dados caso não haja backup – ou tentar achar alguma ferramenta para remoção do ransomware.

Para evitar o problema, o melhor caminho é evitar clicar em links suspeito, baixar programas apenas das lojas de aplicativos oficiais e utilizar um antivírus.

Vale ressaltar que esse problema atinge muito mais aparelhos Android. No caso dos iPhone, no entanto, há outras modalidades de golpe que cobram resgate. Uma delas, corrigida em um update do iOS do início do ano passado, travava o navegador Safari, exigindo um pagamento para voltar ao seu uso normal.

Outro método envolvia invadir contas iCloud e enviar mensagens para os celulares que eram exibidas na tela de bloqueio dos telefones. Neste caso, a vítima era levada a acreditar que o celular havia sido infectado quando, na verdade, nada disso tinha acontecido.