O ransomware é um malware projetado para invadir e, em alguns casos, extrair e criptografar os dados da vítima. Com essa criptografia, os arquivos se tornam inacessíveis, e um resgate é cobrado para que a vítima possa acessar seus arquivos novamente.
Os hackers sempre visam empresas com grandes quantidades de dados em seus servidores; quanto mais dados forem criptografados, maior será o valor do resgate. Portanto, os principais alvos dos ataques são: Servidores, máquinas virtuais, armazenamentos NAS, DAS, SAN, sistemas RAID, banco de dados e outros. Em resumo, todo dispositivo que armazena dados é um alvo para os criminosos.
Embora os grupos de ransomware sejam extremamente sofisticados em seus ataques, há barreiras que eles precisam superar, que não são nada fáceis, e a principal delas é invadir o sistema da vítima. As empresas têm investido muito em firewalls, antivírus, antiransomware e, principalmente, no treinamento de seus funcionários. Por esse motivo, os criminosos criaram estratégias para burlar essas defesas.
Formas de ataques de ransomware
Embora haja todo esse investimento em segurança, nenhum deles garante 100% de segurança dos dados, e os hackers se aproveitam dessas brechas para seus ataques. Vamos ver quais são as principais táticas que eles usam para invadir a rede da vítima.
Via RDP (Remote Desktop Protocol)
O RDP é uma porta do Windows para acesso remoto; grupos de hackers usam um ataque de força bruta para acessar a rede e assumi-la, instalando assim o ransomware. É necessário desenvolver protocolos para acesso remoto e limitar os usuários que podem acessá-los, além de ter senhas fortes. Essa tática é usada para atacar alvos específicos.
Campanhas de e-mail de spam
As campanhas de e-mail de spam consistem em um envio em massa de e-mails que contêm links maliciosos ou documentos anexados, sendo esses documentos os mais comuns, como .word, .excel, .pdf, .jpg e outros. Os e-mails são projetados para serem idênticos aos e-mails de grandes empresas, como bancos, correios, lojas e similares.
Essa campanha depende da desatenção do usuário; a máxima é: nunca baixe arquivos de e-mails de remetentes desconhecidos. A conscientização dos funcionários é vital para as grandes empresas.
Programas não oficiais/crackeados
Você pode encontrar quase todos os programas gratuitamente na Internet, eles podem até não cobrar para serem baixados, mas podem comprar um valor muito mais alto depois.
Os grupos de ransomware ocultam seu malware nesses programas e podem se manifestar muito tempo depois de o programa ser baixado, de modo que a conexão com o programa baixado não seja evidente.
Esses programas, quando baixados, pedem ao usuário para desativar a segurança do Windows, o que é como abrir as portas de uma casa para o sequestrador entrar. Nunca faça download desses programas, sempre opte por programas oficiais.
Phishing
O phishing é a tática mais simples, mas também uma das mais perigosas. Ela não se baseia em uma falha do sistema, mas na desatenção do usuário, que pode divulgar um nome de usuário e uma senha para que o grupo possa invadir o sistema sem a resistência dos firewalls.
O phishing vai além do e-mail e também pode ser usado em sites não seguros, como pop-ups que, uma vez clicados, levam os usuários a páginas com mensagens de emergência que solicitam informações pessoais.
A conscientização dos funcionários é a melhor contramedida para esse tipo de tática.
Preparação dos Funcionários
Essa tática é uma das mais prejudiciais que os hackers usam, pois tem a capacidade de colocar de joelhos todo o investimento que a empresa fez em firewalls, antivírus, treinamento etc.
Groups have already been identified that have contacted employees through LinkedIn, offering high values for their credentials.
Conclusão
Essas são as táticas mais comumente usadas pelos hackers, mas não são as únicas. Há vários grupos que procuram novos caminhos para realizar ataques.
O ransomware é um ramo do malware que elevou seus ataques de forma surpreendente.
O cuidado mais importante é a rotina de backup, que não se destina a evitar ataques de ransomware, mas é uma proteção caso ocorra um ataque.
Mas, mesmo que o backup seja criptografado pelo ransomware, ainda há uma saída: a descriptografia dos arquivos do ransomware pelo RansomHunter.