Introdução

À medida que nossa dependência da infraestrutura digital cresce, o impacto dos ataques de ransomware se torna cada vez mais grave, interrompendo as operações diárias e causando perdas financeiras. A apreensão de criminosos cibernéticos é mais difícil, uma vez que eles recorrem a métodos sofisticados para esconder suas atividades. Uma dessas ferramentas adotadas é a criptomoeda para receber pagamentos de resgate. Eles se aproveitam da natureza descentralizada e pseudônima da criptomoeda como forma preferida de pagamento. Somente em 2023, os ataques de ransomware resultaram em mais de $1 bilhão em pagamentos de resgate, como relatadopela empresa de análise de blockchain, Chainalysis.

O que é Ransomware?

Ransomware é um software malicioso projetado para criptografar os dados de um sistema, tornando-os inacessíveis até que um resgate seja pago. Este ciberataque visa indivíduos, empresas e organizações governamentais, explorando vulnerabilidades em seus sistemas para obter acesso não autorizado. Uma vez que o malware é implantado, ele criptografa arquivos e exige pagamento, geralmente em criptomoeda, para descriptografar os dados.

Embora o objetivo principal dos ataques de ransomware seja principalmente monetário, em alguns casos, também é usado para causar interrupções operacionais, obter acesso não autorizado a informações sensíveis ou pressionar organizações a cumprir outras demandas. Também foi usado como uma ferramenta de guerra cibernética entre países com tensão política.

História e Evolução do Ransomware

O primeiro ataque de ransomware conhecido foi o AIDS Trojan em 1988, também chamado de PC Cyborg Virus. Foi distribuído através de disquetes para os participantes da conferência da Organização Mundial da Saúde. Após um certo número de reinicializações do computador, o trojan criptografou arquivos e exigiu um resgate de $189 pago para uma caixa postal no Panamá. Este ataque utilizava criptografia primitiva em comparação com os padrões atuais, mas lançou as bases para o ransomware moderno. A partir de 2006, a criptografia RSA avançada era usada para distribuir ransomware para sites e através de e-mails de spam, com pagamentos de resgate feitos com vouchers, paysafecards e outros métodos eletrônicos difíceis de rastrear.

Origem: Chainalysis

Até 2010, à medida que o Bitcoin ganhava popularidade, os atacantes começaram a exigir resgate em uma moeda pseudônima que era muito mais difícil de rastrear. Desde então, modelos mais novos e sofisticados de ransomware foram desenvolvidos, construindo uma indústria criminosa que acumulou mais de $3 bilhões entre 2019 e 2024.

O Papel das Criptomoedas no Ransomware

Uma das principais características das criptomoedas, especialmente o Bitcoin, é a sua natureza pseudônima. Enquanto as transações são registradas no blockchain, as identidades das partes envolvidas são mascaradas por endereços de carteira, tornando difícil rastrear o agressor. Sistemas de pagamento tradicionais, como cartões de crédito e transferências bancárias, deixam rastros claros de identidade que a aplicação da lei pode usar para investigar cibercriminosos.

Com transações de Bitcoin publicamente rastreáveis na blockchain, alguns cibercriminosos mudaram para criptomoedas focadas em privacidade como Monero, que oferecem recursos de anonimato e usam endereços furtivos e assinaturas de anel para obscurecer ainda mais os detalhes da transação.

Como o Ransomware Cripto Funciona

Ransomware cripto infiltra-se em um sistema alvo, geralmente através de e-mails de phishing, downloads maliciosos, ou explorando vulnerabilidades do sistema. Uma vez dentro, o malware criptografa arquivos no computador ou rede da vítima usando algoritmos de criptografia complexos, tornando os dados inacessíveis.

Origem: ComodoSSL

As etapas da operação são executadas em etapas;

• Infecção
• Criptografia
• Pedido de resgate

Infecção

Cripto-ransomware entra no dispositivo da vítima por meio de canais como;

E-mails de Phishing: Cibercriminosos enviam e-mails que parecem vir de fontes legítimas, enganando os destinatários a clicar em links maliciosos ou baixar anexos infectados. Esses arquivos frequentemente se disfarçam de documentos importantes ou atualizações, ocultando sua verdadeira natureza.

Software Desatualizado: O ransomware pode explorar falhas em software desatualizado de sistemas operacionais ou aplicativos. Isso ficou evidente no ataque WannaCry, que usou uma exploração no Microsoft Windows.

Malvertising: Os usuários podem interagir sem saber com anúncios enganosos para baixar atualizações de software falsas que levam à instalação de ransomware.

Hacks do Protocolo de Área de Trabalho Remota: O Protocolo de Área de Trabalho Remota (RDP) é usado para manter uma conexão remota com um servidor em situações em que os funcionários de uma organização trabalham em locais diferentes. A interface RDP no computador do funcionário se comunica via protocolos de criptografia com o componente RDP no servidor. Embora criptografada, esse modo de conexão é propenso a hacks que atores mal-intencionados usam para fazer upload de ransomware no servidor de uma empresa.

Criptografia

Uma vez no sistema, o ransomware começa a criptografar os arquivos da vítima. O ransomware cripto usa métodos de criptografia como:

• RSA (Rivest-Shamir-Adleman): Um algoritmo de criptografia assimétrica que utiliza um par de chaves pública e privada. A chave pública criptografa os arquivos e a chave privada, que o atacante possui, é necessária para descriptografá-los.
• AES (Advanced Encryption Standard): Um método de criptografia simétrica onde a mesma chave é usada tanto para criptografia quanto para descriptografia. O ransomware usa isso para criptografar arquivos, e a chave é armazenada com o atacante.

O malware visa tipos de arquivos, incluindo documentos, imagens, vídeos e bancos de dados, qualquer coisa que possa ser valiosa para a vítima. Durante esse processo, os usuários podem nem perceber que seus dados estão sendo criptografados até que a criptografia esteja completa, deixando-os sem opções imediatas de recuperação.

Um dos padrões notáveis em grandes ataques de ransomware é que eles ocorrem durante feriados ou horários em que a maioria da equipe não está online para evitar a detecção.

Pedido de resgate

Origem: Ponto de prova

Após criptografar os dados, o ransomware exibe uma nota de resgate para a vítima, geralmente por meio de uma janela pop-up, arquivo de texto ou página HTML.

Uma tela de pedido de resgate solicitando Bitcoin em troca da chave privada
Origem: Varonis

O valor do resgate geralmente é solicitado em Bitcoin ou Monero, com um link para um site de pagamento ou um método para entrar em contato com os atacantes (às vezes hospedado na dark web).

Origem: Proofpoint

Se a vítima cumprir com a exigência e transferir a quantia solicitada, os atacantes podem fornecer a chave de descriptografia para desbloquear os arquivos. No entanto, pagar o resgate não garante que os atacantes cumprirão. Em alguns casos, as vítimas nunca recebem a chave de descriptografia mesmo após o pagamento, ou podem enfrentar exigências adicionais de resgate.

Especialistas em segurança cibernética e agências de aplicação da lei desencorajam o pagamento de resgates, pois os cibercriminosos podem recorrer à dupla extorsão, onde os atacantes não apenas criptografam os arquivos da vítima, mas também roubam dados sensíveis. Em seguida, eles ameaçam divulgar ou vender os dados se outro resgate não for pago.

Ataques notáveis de CryptoRansomware

WannaCry (2017)

WannaCry é um dos ataques de ransomware mais notórios e difundidos da história. Explorou uma vulnerabilidade no Microsoft Windows conhecida como EternalBlue, que o grupo de hackers Shadow Brokers havia previamente roubado da NSA. WannaCry afetou mais de 200.000 computadores em 150 países, incluindo grandes instituições como o Serviço Nacional de Saúde do Reino Unido (NHS), FedEx e Renault. Causou ampla interrupção, especialmente em sistemas de saúde, onde os serviços aos pacientes foram severamente afetados.

Uma Nota de Resgate do WannaCry
Origem: CyberSpades

Os atacantes exigiram US$ 300 em Bitcoin em troca de uma chave de descriptografia, embora muitas vítimas não pudessem recuperar seus dados mesmo depois de pagar. O ataque acabou sendo interrompido por um pesquisador de segurança que ativou um "kill switch" embutido no código do malware, mas não antes de causar bilhões de dólares em danos.

NotPetya (2017)

NotPetya foi um malware de dupla destruição que serviu como ransomware e um malware limpador projetado para causar destruição em vez de extrair um resgate.

Uma Nota de Resgate do NotPetya
Origem: SecurityOutlines

O malware parecia exigir um resgate em Bitcoin, mas mesmo após o pagamento, a recuperação dos dados criptografados era impossível, indicando que o ganho financeiro não era o verdadeiro objetivo. Ao contrário do ransomware tradicional, o NotPetya parecia ter motivação política, visando a Ucrânia durante um período de tensão geopolítica com a Rússia. Embora eventualmente tenha se espalhado globalmente, danificou grandes corporações multinacionais, incluindo Maersk, Merck e FedEx, resultando em perdas financeiras globais estimadas em mais de US$ 10 bilhões.

DarkSide (2021)

DarkSide ganhou atenção global após seu ataque ao Colonial Pipeline, o maior oleoduto de combustível nos Estados Unidos, o que levou a escassez de combustível em toda a Costa Leste. O ataque interrompeu o fornecimento de combustível e causou compras generalizadas de pânico. O Colonial Pipeline eventualmente pagou um resgate de $4.4 milhões em Bitcoin, embora o FBI tenha recuperado posteriormente uma parte deste resgate.

Uma Nota de Resgate DarkSide

Origem: KrebsonSecurity

Ransomware-as-a-Service

RaaS é um modelo de negócios no qual os criadores de ransomware alugam seu software malicioso para afiliados ou outros cibercriminosos. Os afiliados usam esse software para realizar ataques, dividindo os lucros do resgate com os desenvolvedores de ransomware.

REvil

REvil (também conhecido como Sodinokibi) é um dos grupos de ransomware mais sofisticados, atuando como uma operação de ransomware como serviço (RaaS).

O REvil foi vinculado a ataques de alto perfil em organizações globais, incluindo a JBS (o maior fornecedor de carne do mundo) e a Kaseya, uma empresa de software. Isso afetou mais de 1.000 empresas que dependem de seus produtos de software.

Clop

Fonte: BleepingComputer

Clop é outro Ransomware como um Serviço (RaaS) que realiza campanhas de spear-phishing em grande escala direcionadas a corporações e exigindo resgates vultosos. Os operadores do Clop usam a técnica de dupla extorsão: Eles roubam dados antes de criptografá-los e ameaçam vazar informações sensíveis se o resgate não for pago.

Em 2020, Clop foi responsável por uma enorme violação de dados vinculada ao software de transferência de arquivos Accellion, afetando várias universidades, instituições financeiras e agências governamentais.

Defendendo-se Contra Ransomware Cripto

A defesa mais eficaz começa com a prevenção de malware de entrar no seu sistema. Aqui estão algumas medidas que podem proteger seu computador de ransomware.

Conscientização em Segurança Cibernética

Usuários e funcionários devem ser treinados para reconhecer e responder a ameaças como e-mails de phishing ou anexos suspeitos. Treinamentos regulares de conscientização cibernética podem reduzir significativamente o risco de infecções acidentais.

Atualizações de software

As atualizações regulares e patches para sistemas operacionais, aplicativos e software de segurança reduzem o risco de ataques ao limitar a exposição ao ransomware causado por software desatualizado.

Backup de Dados

Se ocorrer um ataque de ransomware, ter um backup recente permite que a vítima restaure seus dados sem pagar um resgate. Os backups devem ser armazenados offline ou em ambientes de nuvem que não estejam diretamente conectados à rede, para protegê-los de serem infectados pelo ransomware.

Filtros de Email

Sistemas de filtragem de e-mail escaneiam mensagens recebidas em busca de links, anexos ou características suspeitas. Esses filtros podem bloquear e-mails contendo elementos maliciosos conhecidos antes que cheguem às caixas de entrada dos usuários.

Segmentação de rede e controles de acesso

A segmentação de rede restringe a propagação de ransomware uma vez que ele infiltra seu sistema, mesmo se uma parte da rede for comprometida, o dano pode ser contido. Especialistas aconselham separar sistemas e dados sensíveis das operações regulares, limitando o acesso a áreas críticas.

Controles de acesso como autenticação multifatorial (MFA) e o princípio do mínimo privilégio (dando aos usuários apenas o acesso necessário) podem limitar o acesso do usuário. Se um atacante obtiver acesso a uma conta ou sistema, a segmentação e os controles de acesso podem evitar movimentos laterais pela rede, limitando o alcance do ransomware.

Soluções de Detecção e Resposta de Ponta (EDR)

As soluções EDR fornecem monitoramento contínuo e análise das atividades do endpoint, ajudando a detectar sinais precoces de infecção por ransomware. Essas ferramentas podem responder automaticamente a comportamentos suspeitos, isolando dispositivos infectados e impedindo a propagação do ransomware em toda a rede.

Conclusão

O Crypto Ransomware destaca um dos usos indevidos da criptomoeda, onde os criminosos se aproveitam do anonimato da tecnologia blockchain. Embora não haja muito a ser feito em relação à criptomoeda como resgate, as melhores medidas possíveis são proteger usuários e sistemas da infecção por ransomware, evitando links de phishing e realizando atualizações regulares de software.

Além disso, manter backups de dados regulares garante que arquivos importantes possam ser restaurados sem pagar um resgate se ocorrer um ataque. A segmentação da rede serve como outra importante medida defensiva, pois limita a propagação do ransomware, confinando-o a partes específicas do sistema e protegendo áreas não afetadas.