O ransomware é um malware concebido para invadir e, em alguns casos, extrair e encriptar os dados da vítima. Com esta encriptação, os ficheiros tornam-se inacessíveis e é cobrado um resgate para que a vítima possa aceder novamente aos seus ficheiros.
Os piratas informáticos visam sempre empresas com grandes quantidades de dados nos seus servidores; quanto mais dados encriptados, mais elevado é o resgate. Por isso, os principais alvos dos ataques são: Servidores, Máquinas Virtuais, Storages NAS, DAS, SAN, sistemas RAID, Banco de Dados e outros. Em suma, qualquer dispositivo que armazene dados é um alvo para os criminosos.
Apesar de os grupos de ransomware serem extremamente sofisticados nos seus ataques, há barreiras que precisam de ultrapassar, que não são nada fáceis, e a principal é a invasão do sistema da vítima. As empresas têm investido muito em firewalls, antivírus, anti-ransomware e, principalmente, em treinamento para seus funcionários. Por esse motivo, os criminosos criaram estratégias para burlar essas defesas.
Formas de ataques de ransomware
Mesmo havendo todo esse investimento em segurança, nenhum deles garante 100% de segurança dos dados, e os hackers se aproveitam dessas brechas para seus ataques. Vamos ver quais são as principais táticas que eles utilizam para invadir a rede da vítima.
Via RDP (Remote Desktop Protocol)
O RDP é uma porta do Windows para acesso remoto, os grupos de hackers utilizam um ataque de força bruta para aceder à rede e assumi-la, instalando assim o ransomware. É necessário desenvolver protocolos de acesso remoto e limitar os utilizadores que podem aceder aos mesmos, bem como ter palavras-passe fortes. Esta tática é utilizada para atacar alvos específicos.
Campanhas de e-mail spam
As campanhas de spam por emails consistem num envio em massa de mensagens de emails que contêm links maliciosos ou documentos anexados, sendo estes documentos os mais comuns, tais como .word, .excel, .pdf, .jpg e outros. Os e-mails são concebidos para serem idênticos aos e-mails de grandes empresas, como bancos, correios, lojas e afins.
Esta campanha baseia-se na desatenção do utilizador e a máxima é: nunca descarregar ficheiros de e-mails de remetentes desconhecidos. A sensibilização dos trabalhadores é vital para as grandes empresas.
Programas não oficiais
É possível encontrar quase todos os programas de graça na internet, eles podem até não cobrar para serem descarregados, mas podem comprar um valor muito mais alto depois.
Os grupos de ransomware escondem o seu malware nestes programas e podem manifestar-se muito depois de o programa ser descarregado, pelo que a ligação ao programa descarregado não é evidente.
Estes programas, quando descarregados, pedem ao utilizador para desativar a segurança do Windows, o que é como abrir as portas de uma casa para o sequestrador entrar. Nunca descarregue estes programas, opte sempre por programas oficiais.
Phishing
O phishing é a tática mais simples, mas também uma das mais perigosas. Não se baseia numa falha do sistema, mas sim na desatenção do utilizador que pode divulgar um nome de utilizador e uma palavra-passe, para que o grupo possa entrar no sistema sem resistência das firewalls.
O phishing não se limita ao correio eletrónico, podendo também ser utilizado em sítios não seguros, como os pop-ups que, uma vez clicados, levam os utilizadores para páginas com mensagens de emergência que pedem informações pessoais.
A sensibilização dos trabalhadores é a melhor contra-medida para este tipo de tática.
Cuidados com os empregados
Esta tática é uma das mais prejudiciais que os hackers utilizam, pois tem a capacidade de deitar por terra todo o investimento que a empresa fez em firewalls, antivírus, formação, etc.
Já foram identificados grupos que contactaram os trabalhadores através do LinkedIn, oferecendo valores elevados pelas suas credenciais.
Conclusão
Estas são as tácticas mais utilizadas pelos hackers, mas não são as únicas. Existem vários grupos que procuram novas formas de efetuar ataques.
O ransomware é um ramo do malware que elevou os seus ataques de uma forma surpreendente, nunca se pode ser demasiado cuidadoso com a segurança.
O cuidado mais importante é a rotina de cópias de segurança, que não se destina a evitar ataques de ransomware, mas é uma salvaguarda no caso de ocorrer um ataque.
Mas mesmo que a cópia de segurança seja encriptada pelo ransomware, ainda há uma saída, a desencriptação dos ficheiros do ransomware pelo RansomHunter.