News
Trending

30 anos dos Ransomwares: como um ataque bizarro abriu espaço para que esse malware pudesse dominar o mundo

O ransomware tem sido uma das ameaças cibernéticas mais prolíficas que o mundo enfrentou ao longo de 2019 e é improvável que pare de ser uma ameaça tão cedo. Diversas empresas, universidades, escolas, usuários domésticos, todos foram vítimas de ataques desse malware com criptografia de rede. Estes tipos de ameaça exigem centenas de milhares de dólares em bitcoin ou outra criptomoeda para o retorno seguro dos arquivos.

Embora as autoridades recomendem que as vítimas não cedam às demandas dos criminosos cibernéticos e paguem o resgate, muitos optam por pagar centenas de milhares de dólares porque consideram o meio mais rápido e fácil de restaurar sua rede. Isso significa que alguns dos grupos criminosos que operaram campanhas de ransomware em 2019 ganharam milhões de dólares.

Mas o que hoje é uma das principais ameaças cibernéticas do mundo começou com origens muito mais humildes em dezembro de 1989 com uma campanha de um homem que acabaria por influenciar alguns dos maiores ataques cibernéticos do mundo trinta anos depois.

A primeira instância do que hoje conhecemos como ransomware foi chamada de Trojan da Aids por causa do seu objetivo – delegados que participaram da conferência da AIDS da Organização Mundial da Saúde em Estocolmo, em 1989.

Os participantes receberam disquetes contendo o código malicioso que se instalava nos sistemas MS-DOS e contava o número de vezes que a máquina foi inicializada. Quando a máquina era inicializada pela 90ª vez, o cavalo de Troia ocultava todos os diretórios e criptografava os nomes de todos os arquivos na unidade, tornando-a inutilizável.

Quando o trojan era ativado, as vítimas viam uma nota da autointitulada ‘PC Cyborg Corporation’, informando que seu contrato de software havia expirado e que eles precisavam enviar US$189 por correio para um endereço no Panamá para recuperar o acesso ao seu sistema.

Foi uma exigência de pagamento de resgate para que a vítima recuperasse o acesso ao computador: isso fez dele o primeiro ransomware.

Felizmente, a criptografia usada pelo cavalo de Troia era fraca, então os pesquisadores de segurança puderam lançar uma ferramenta de descriptografia gratuita – e, assim, começava uma batalha que continua que dura até hoje, com criminosos cibernéticos desenvolvendo ransomwares e pesquisadores tentando fazer engenharia reversa.

Esses primeiros ataques ainda eram simples em comparação com o ransomware de hoje.

Uma forma comum desse tipo de ransomware era o ataque ‘Police Locker‘, que se baixado – geralmente de sites de downloads peer-to-peer ou sites que hospedam material pirata ou adulto – mudaria a área de trabalho do usuário por uma nota que afirmava ser de algum órgão legal declarando que a máquina havia sido bloqueada devido à suspeita de atividade ilegal.

Nenhuma criptografia era realmente usada nesses ataques e, em muitos casos, o bloqueio podia ser removido reiniciando o computador – mas, para alguns, o fator medo os levou a pagar algumas centenas de dólares.

Embora os ‘Police Locker’ tenham atingido o pico entre 2010 e 2012, eles não desapareceram – mas foram substituídos pelo que reconhecemos como ransomware ‘real’.

“2012 a 2014 foi uma espécie de faroeste selvagem do ransomware, era uma ideia nova e o público em geral não estava ciente do que era e não entendia o que estava acontecendo. Você tinha tudo, desde os bloqueios de tela até os bloqueios com criptografia de arquivos “

diz Michael Gillespie, pesquisador de ransomware da Emsisoft.

Foi nesse ponto que o ransomware voltou-se para a criptografia de arquivos, de modo a realmente atrapalhar as vítimas, embora fosse raro que as demandas de resgate fossem superiores a algumas centenas de dólares, já que os alvos ainda eram principalmente usuários domésticos – e como os resgates eram pagos em moedas correntes, não era a operação mais secreta.

Mas o boom do Bitcoin ajudou a mudar tudo e logo os criminosos que distribuíam ransomware exigiam que seus resgates fossem pagos em criptomoeda porque as transações são mais difíceis de rastrear do que as feitas com moeda comum, tornando mais difícil descobrir os responsáveis ​​pelos ataques.

Em 2016, o ransomware como serviço tornou-se comum, com os criadores de famílias de malware como o Cerber aumentando sua capacidade de realizar ataques em troca lucros. Isso provou ser um modelo de negócios bem-sucedido e, até o final do ano, as variantes de ransomware estavam entre as famílias de malware mais comuns.

Lentamente os ataques de ransomware estavam mudando de foco, com muitas das organizações criminosas profissionais se afastando de atacar usuários domésticos em favor de atingir empresas e organizações do setor público, criptografando redes inteiras e pedindo dezenas de milhares de dólares.

Apesar disso, o ransomware ainda permaneceu um pouco fora do radar e dos círculos de segurança da informação, mas em maio de 2017, isso mudou para sempre com a chegada do ransomware WannaCry.

Naquele maio fatídico, pessoas e organizações em todo o mundo se viram diante de uma mensagem exigindo pagamento de resgate em troca da devolução segura de seus arquivos. O WannaCry estava se espalhando.

O ataque com o WannaCry foi atribuído à Coréia do Norte e, mesmo que as organizações pagassem o resgate, não havia mecanismo para recuperar os arquivos – o ataque parecia ser de natureza puramente destrutiva.

Apenas algumas semanas depois, algo semelhante aconteceu quando o NotPetya – um ataque provavelmente lançado pela inteligência militar russa – também atingiu alvos em todo o mundo.

Esses foram os dois casos mais famosos, mas não foram os únicos. As organizações continuaram a deixar suas redes abertas e vulneráveis aos ciberataques e logo, os hackers encontrariam outra nova maneira de tornar o ransomware ainda mais poderoso – e mais lucrativo – do que antes, os hackers perceberam que podiam espalhar o malware com mais do que apenas ataques de phishing.

“O WannaCry foi uma forte mudança de paradigma. Os hackers perceberam que poderiam combinar carga destrutível com uma forte carga útil com o ransomware

diz Max Heinemeyer, diretor de busca de ameaças da Darktrace.

Desde então, os criminosos cibernéticos que usam ransomware ficaram mais ousados ​​e os ataques ficaram muito maiores. Agora, quando redes inteiras são comprometidas por hackers, o ransomware se torna um meio de monetizar o ataque.

Ao combinar ataques contra portas Internet, o uso de credenciais roubadas e outras tantas técnicas, os invasores percorrem a rede até comprometerem tudo quanto for possível, antes de, finalmente, liberarem o ransomware e derrubarem tudo – geralmente incluindo servidores e backups.

Isso levou o ransomware a se tornar um negócio extremamente lucrativo, com os invasores exigindo regularmente somas de seis dígitos pela chave de descriptografia – e, apesar dos números envolvidos, 2019 viu muitas organizações optarem por pagar o resgate.

Em muitos casos, pagar o resgate é visto como o menor dos males – porque a restauração da rede do zero pode levar semanas e não apenas pode custar muito, a organização perderá grandes quantidades de negócios durante o tempo todo em que a rede estiver inativa. Portanto, as vítimas pagam, demonstrando aos atacantes que o ransomware funciona.

Por esse motivo – e pela maneira como os distribuidores de ransomware raramente são levados à justiça – o ransomware se tornou mais problemático do que nunca e a tendência é que isso continue em 2020.

Mas, ao fazer uma coisa simples, organizações de todos os tamanhos podem combater a ameaça de ataques de ransomware: garantir que eles tenham backups off-line de seus sistemas e garantir que esses backups sejam testados regularmente.

“É o backup de Schrödinger: o estado de um backup não é conhecido até que você precise restaurá-lo: você precisa saber se isso vai te salvar se algo acontecer”, disse Gillespie.

Se as organizações protegem suas redes contra ataques e garantem que haja backups disponíveis, se o pior acontecer, elas não precisam pagar o resgate – e se as pessoas não estiverem pagando resgates, os cibercriminosos deixarão de ver o ransomware como lucrativo.

Talvez se essas lições forem aprendidas agora, o ransomware não estará afetando as empresas nos próximos 30 anos – mas, infelizmente, é provável que piore antes que melhore.

* Texto traduzido de reportagem escrita pelo jornalista Danny Palmer ao ZDnet

Tags

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close