Introdução

À medida que a nossa dependência da infraestrutura digital cresce, o impacto dos ataques de ransomware torna-se cada vez mais grave, perturbando as operações diárias e causando perdas financeiras. A captura de criminosos cibernéticos torna-se mais difícil, uma vez que recorrem a métodos sofisticados para esconder os seus rastros. Uma ferramenta que adotaram é a criptomoeda para receber pagamentos de resgate. Aproveitam a natureza descentralizada e pseudónima da criptomoeda como forma de pagamento preferida. Apenas em 2023, os ataques de ransomware resultaram em mais de 1 bilhão de dólares em pagamentos de resgate.relatadopela empresa de análise de blockchain, Chainalysis.

O que é Ransomware?

Ransomware é um software malicioso projetado para criptografar os dados de um sistema, tornando-o inacessível até que um resgate seja pago. Este ciberataque visa indivíduos, empresas e organizações governamentais, explorando vulnerabilidades em seus sistemas para obter acesso não autorizado. Uma vez que o malware é implantado, ele criptografa arquivos e exige pagamento, geralmente em criptomoeda, para descriptografar os dados.

Embora o objetivo principal dos ataques de ransomware seja principalmente monetário, em alguns casos, também é usado para causar perturbações operacionais, obter acesso não autorizado a informações sensíveis ou pressionar organizações a cumprir outras exigências. Também tem sido usado como uma ferramenta de guerra cibernética entre países com tensão política.

História e Evolução do Ransomware

O primeiro ataque de ransomware conhecido foi o AIDS Trojan em 1988, também chamado de PC Cyborg Virus. Foi distribuído através de disquetes para os participantes da conferência da Organização Mundial da Saúde. Após um certo número de reinicializações do computador, o trojan criptografou arquivos e exigiu um resgate de $189 pago a uma caixa postal no Panamá. Este ataque usou criptografia primitiva em comparação com os padrões atuais, mas lançou as bases para o ransomware moderno. A partir de 2006, a criptografia RSA avançada foi usada para distribuir ransomware para sites e através de e-mails de spam, com pagamentos de resgate feitos com vouchers, paysafecards e outros métodos eletrônicos difíceis de rastrear.

Origem: Chainalysis

Em 2010, à medida que o Bitcoin ganhava popularidade, os atacantes começaram a exigir resgate em uma moeda pseudônima que era muito mais difícil de rastrear. Desde então, modelos mais novos e sofisticados de ransomware foram desenvolvidos, construindo uma indústria criminosa que acumulou mais de $3 bilhões de dólares entre 2019 e 2024.

O Papel das Criptomoedas no Ransomware

Uma das características-chave das criptomoedas, especialmente do Bitcoin, é a sua natureza pseudónima. Enquanto as transações são registadas na blockchain, as identidades das partes envolvidas são mascaradas por endereços de carteira, o que torna difícil rastrear o atacante. Sistemas de pagamento tradicionais, como cartões de crédito e transferências bancárias, deixam rastos de identidade claros que as autoridades podem usar para investigar cibercriminosos.

Com as transações de Bitcoin publicamente rastreáveis na blockchain, alguns cibercriminosos migraram para criptomoedas focadas em privacidade como o Monero, que oferecem recursos de anonimato e usam endereços furtivos e assinaturas em anel para obscurecer ainda mais os detalhes das transações.

Como funciona o Ransomware Cripto

O ransomware cripto infiltra-se num sistema alvo, geralmente através de emails de phishing, downloads maliciosos ou explorando vulnerabilidades do sistema. Uma vez dentro, o malware encripta ficheiros no computador ou na rede da vítima usando algoritmos de encriptação complexos, tornando os dados inacessíveis.

Origem: ComodoSSL

As etapas da operação são executadas em etapas;

• Infeção
• Criptografia
• Pedido de Resgate

Infeção

Ransomware cripto entra no dispositivo de uma vítima através de canais como;

Emails de phishing: cibercriminosos enviam emails que parecem vir de fontes legítimas, enganando destinatários a clicar em links maliciosos ou baixar anexos infectados. Esses arquivos frequentemente se disfarçam como documentos importantes ou atualizações, disfarçando sua verdadeira natureza.

Software Desatualizado: O Ransomware pode explorar falhas em software desatualizado de sistemas operacionais ou aplicações. Isso ficou evidente no ataque WannaCry, que utilizou uma exploração no Microsoft Windows.

Malvertising: Os utilizadores podem interagir inadvertidamente com anúncios enganosos para descarregar atualizações de software falsas que levam à instalação de ransomware.

Hacks de Protocolo de Área de Trabalho Remota: O Protocolo de Área de Trabalho Remota (RDP) é usado para manter uma conexão remota com um servidor em situações em que os funcionários de uma organização trabalham em locais diferentes. A interface RDP no computador do funcionário se comunica via protocolos de criptografia com o componente RDP no servidor. Embora criptografada, esse modo de conexão é propenso a hacks que atores mal-intencionados usam para carregar ransomware em um servidor da empresa.

Criptografia

Uma vez no sistema, o ransomware começa a encriptar os ficheiros da vítima. O ransomware cripto utiliza métodos de encriptação como:

• RSA (Rivest–Shamir–Adleman): Um algoritmo de criptografia assimétrica que usa um par de chaves pública e privada. A chave pública criptografa os arquivos, e a chave privada, que o atacante possui, é necessária para descriptografá-los.
• AES (Advanced Encryption Standard): Um método de criptografia simétrica onde a mesma chave é usada tanto para a criptografia quanto para a descriptografia. O ransomware usa isso para criptografar arquivos, e a chave é armazenada com o atacante.

O malware visa tipos de arquivo, incluindo documentos, imagens, vídeos e bancos de dados, qualquer coisa que possa ser valiosa para a vítima. Durante esse processo, os usuários podem nem mesmo perceber que seus dados estão sendo bloqueados até que a criptografia esteja completa, deixando-os sem opções imediatas de recuperação.

Um dos padrões notáveis em grandes ataques de ransomware é que eles ocorrem durante feriados ou momentos em que a maioria dos funcionários não está online para evitar detecção.

Pedido de Resgate

Origem:Proofpoint

Depois de criptografar os dados, o ransomware exibe uma nota de resgate para a vítima, geralmente por meio de uma janela pop-up, arquivo de texto ou página HTML.

Um ecrã de pedido de resgate que solicita Bitcoin em troca da chave privada
Origem: Varonis

O valor do resgate é geralmente solicitado em Bitcoin ou Monero, com um link para um site de pagamento ou um método para entrar em contato com os atacantes (às vezes hospedado na dark web).

Origem: Proofpoint

Se a vítima cumprir com a exigência e transferir a quantia solicitada, os atacantes podem fornecer a chave de desencriptação para desbloquear os ficheiros. No entanto, pagar o resgate não garante que os atacantes vão cumprir. Em alguns casos, as vítimas nunca recebem a chave de desencriptação mesmo após o pagamento, ou podem enfrentar pedidos de resgate adicionais.

Especialistas em segurança cibernética e agências de aplicação da lei desencorajam o pagamento de resgates, pois os cibercriminosos podem recorrer à dupla extorsão, onde os atacantes não apenas criptografam os arquivos da vítima, mas também roubam dados sensíveis. Eles ameaçam liberar ou vender os dados se outro resgate não for pago.

Ataques notáveis de criptoransomware

WannaCry (2017)

WannaCry é um dos ataques de ransomware mais notórios e generalizados da história. Explorou uma vulnerabilidade no Microsoft Windows conhecida como EternalBlue, que o grupo de hackers Shadow Brokers havia previamente roubado da NSA. WannaCry afetou mais de 200.000 computadores em 150 países, incluindo grandes instituições como o Serviço Nacional de Saúde (NHS) do Reino Unido, FedEx e Renault. Causou ampla perturbação, especialmente nos sistemas de saúde, onde os serviços aos pacientes foram severamente impactados.

Uma Nota de Resgate do WannaCry
Origem: Espadas Cibernéticas

Os atacantes exigiram $ 300$ em Bitcoin em troca de uma chave de descriptografia, embora muitas vítimas não tenham conseguido recuperar seus dados mesmo depois de pagar. O ataque foi finalmente interrompido por um pesquisador de segurança que ativou um "interruptor de desativação" incorporado no código do malware, mas não antes de causar bilhões de dólares em danos.

NotPetya (2017)

NotPetya foi um malware de dupla devastação que serviu como ransomware e um malware de limpeza projetado para causar destruição em vez de extrair um resgate.

Uma Nota de Resgate NotPetya
Origem: SecurityOutlines

O malware parecia exigir um resgate em Bitcoin, mas mesmo após o pagamento, a recuperação dos dados criptografados era impossível, indicando que o ganho financeiro não era o verdadeiro objetivo. Ao contrário dos ransomwares tradicionais, o NotPetya parecia ter motivação política, visando a Ucrânia durante um período de tensão geopolítica com a Rússia. Embora tenha se espalhado globalmente, ele danificou grandes corporações multinacionais, incluindo Maersk, Merck e FedEx, resultando em perdas financeiras globais estimadas em mais de 10 bilhões de dólares.

DarkSide (2021)

DarkSide ganhou atenção global após seu ataque à Colonial Pipeline, o maior oleoduto de combustível nos Estados Unidos, o que levou a escassez de combustível em toda a Costa Leste. O ataque interrompeu o fornecimento de combustível e causou compras generalizadas de pânico. A Colonial Pipeline eventualmente pagou um resgate de $4.4 milhões em Bitcoin, embora o FBI tenha posteriormente recuperado uma parte deste resgate.

Um Aviso de Resgate DarkSide

Fonte: KrebsonSecurity

Ransomware-as-a-Service

RaaS é um modelo de negócio no qual os criadores de ransomware alugam seu software malicioso para afiliados ou outros cibercriminosos. Os afiliados usam esse software para realizar ataques, dividindo os lucros do resgate com os desenvolvedores de ransomware.

REvil

REvil (também conhecido como Sodinokibi) é um dos grupos de ransomware mais sofisticados, operando como uma operação de ransomware como serviço (RaaS).

O REvil tem sido associado a ataques de alto perfil a organizações globais, incluindo a JBS (o maior fornecedor de carne do mundo) e a Kaseya, uma empresa de software. Isso afetou mais de 1.000 empresas que dependem dos seus produtos de software.

Clop

Origem: BleepingComputer

Clop é outro Ransomware como um Serviço (RaaS) que realiza campanhas de spear-phishing em larga escala visando corporações e exigindo resgates elevados. Os operadores do Clop usam a técnica de dupla extorsão: eles roubam dados antes de criptografá-los e ameaçam vazar informações sensíveis se o resgate não for pago.

Em 2020, o Clop foi responsável por uma enorme violação de dados ligada ao software de transferência de arquivos Accellion, afetando várias universidades, instituições financeiras e agências governamentais.

Defendendo-se contra o Ransomware de Cripto

A defesa mais eficaz começa com a prevenção de malware de entrar no seu sistema. Aqui estão algumas medidas que podem proteger o seu computador de ransomware.

Consciência de Segurança Cibernética

Usuários e funcionários devem ser treinados para reconhecer e responder a ameaças como e-mails de phishing ou anexos suspeitos. A formação regular de sensibilização para a cibersegurança pode reduzir significativamente o risco de infeções acidentais.

Atualizações de software

Atualizações regulares e patches para sistemas operativos, aplicações e software de segurança reduzem o risco de ataques ao limitar a exposição a ransomware causada por software desatualizado.

Backup de Dados

Se ocorrer um ataque de ransomware, ter um backup recente permite à vítima restaurar seus dados sem pagar um resgate. Os backups devem ser armazenados offline ou em ambientes de nuvem que não estejam diretamente conectados à rede, para protegê-los de serem infectados pelo ransomware.

Filtros de Email

Os sistemas de filtragem de email escaneiam mensagens recebidas em busca de links, anexos ou características suspeitas. Esses filtros podem bloquear emails que contenham elementos maliciosos conhecidos antes que eles cheguem às caixas de entrada dos usuários.

Segmentação de rede e Controlos de Acesso

A segmentação da rede restringe a propagação do ransomware uma vez que se infiltra no seu sistema, mesmo que uma parte da rede esteja comprometida, os danos podem ser contidos. Os especialistas aconselham separar sistemas e dados sensíveis das operações regulares, limitando o acesso a áreas críticas.

Os controlos de acesso, como a autenticação de múltiplos fatores (MFA) e o princípio do privilégio mínimo (dar aos utilizadores apenas o acesso de que necessitam), podem limitar o acesso do utilizador. Se um atacante ganhar acesso a uma conta ou sistema, a segmentação e os controlos de acesso podem impedir o movimento lateral através da rede, limitando o alcance do ransomware.

Soluções de Detecção e Resposta de Pontos Finais (EDR)

As soluções EDR fornecem monitorização contínua e análise das atividades do endpoint, ajudando a detetar sinais precoces de infeção por ransomware. Estas ferramentas podem responder automaticamente a comportamentos suspeitos, isolando dispositivos infetados e prevenindo a propagação de ransomware por toda a rede.

Conclusão

Crypto Ransomware destaca um dos usos indevidos de criptomoeda, onde criminosos se aproveitam do anonimato da tecnologia blockchain. Embora não haja muito a ser feito em relação à criptomoeda como resgate, as melhores medidas possíveis são proteger os usuários e os sistemas contra infecção por ransomware, evitando links de phishing e realizando atualizações regulares do software.

Além disso, a manutenção de backups regulares de dados garante que arquivos importantes possam ser restaurados sem pagar um resgate se ocorrer um ataque. A segmentação de rede serve como outra medida defensiva importante, pois limita a propagação de ransomware, confinando-o a partes específicas do sistema e protegendo áreas não afetadas.