Por que ransomware funciona? Trend Micro explica

CyberwarFirewallGestãoSegurançaVírus
0 9 Sem Comentários

“Em 2016, as ameaças online evoluirão contando mais com o aprimoramento da psicologia por trás de cada golpe do que com melhorar os aspectos técnicos da operação. Os agressores continuarão a usar o medo como o principal componente do golpe, pois ele já se mostrou eficaz no passado”. Estas foram as previsões da Trend Micro, empresa de segurança da informação, no final de 2015. E é o que acontece hoje.

De acordo com a Trend Micro, a operação de ransomware, dividida em etapas, é simples. Segundo ela, basta encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou arquivos críticos dentro dele e forçar a vítima a pagar o resgate. Ao longo dos anos, o ransomware se desenvolveu tremendamente se tornando uma ameaça cibernética eficaz que não só assusta suas possíveis vítimas com uma tela bloqueada, mas como um malware que conhece os pontos fracos de seus alvos.

As primeiras variantes do ransomware se aproveitaram do medo de suas vítimas por meio de Cavalos de Troia (como o Reveton), fingindo ser alertas legítimos de violações de leis federais para enganar os usuários, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware, que sequestrava os dados das vítimas.

Os cibercriminosos que usam o ransomware dobram esforços para expandir efetivamente seu alcance. Iscas de engenharia social continuam a funcionar, mas agora em um escopo maior.

A empresa lembra que em maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de emails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de email amazon.com e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.

No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.

O resgate

Para o pagamento do resgate, destaca a Trend Micro, os desenvolvedores de ransomware criaram uma série de maneiras para convencer os usuários de que pagar o resgate é a melhor opção.

Em abril, surgiu um novo tipo de ransomware chamado Jigsaw, que tem esse nome inspirado na franquia de filmes, Saw, ou Jogos Mortais em português. O método de extorsão envolve um cronômetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$150 – e assim recuperar o acesso aos arquivos criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de arquivos criptografados é apagado.

O Jigsaw mostra a direção que os chantagistas estão tomando hoje em dia – um ataque claro e evidente contra a psique da vítima.

Evolução dos ataques

Vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de usuários individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como ele pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias.

Quando surgiu a notícia de uma “situação de emergência interna” que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC), o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas.

A rede e sistemas de computador do hospital, inclusive os que envolviam tomografias computadorizadas, exames de laboratório, farmacêuticos e documentação ficaram fora do ar por mais de uma semana, fazendo com que os funcionários voltassem ao uso de papel e caneta. Esse incidente também causou impacto nos sistemas de salas de emergência, obrigando-os a transferir pacientes para outros hospitais.

Segundo a Trend Micro até hoje, 50 novas famílias de ransomware já foram vistas apenas nos primeiros cinco meses de 2016. O mais alarmante é o fato de que a ameaça ainda continua crescendo – em número e nível de eficácia.

Como prevenir, segundo Trend Micro

  • Evite abrir e-mails não verificados ou clicar em links incorporados neles
  • Faça backup de arquivos importantes, usando a regra do 3,2,1: crie três backups em duas mídias diferentes com um backup em local separado
  • Atualize regularmente o software para proteger contra as vulnerabilidades mais recentes

Clique para ler a bio do autor  Clique para fechar a bio do autor