História do ransomware

About Me

http://bitfun.co/img/728x90.gif

História do ransomware

E.Munene sexta-feira, novembro 22, 2019

História do ransomware


Ransomware é um software mal intencionado (malware), que é instalado em seu computador sem seu consentimento. Ele bloqueia partes de seu sistema ou pastas, criptografando seus dados e escondendo a chave para que um usuário não consiga decifrá-la ou também bloqueando sua tela com um pop-up.



O primeiro ransomware, conhecido como PC Cyborg ou AIDS, foi criado no final dos anos 80. O PC Cyborg criptografaria todos os arquivos no diretório C: após 90 reinicializações e exigiria que o usuário renovasse sua licença enviando US $ 189 por correio para a PC Cyborg Corp. A criptografia usada era simples o suficiente para reverter, por isso representava pouca ameaça para aqueles que eram experientes em computadores.
Com poucas variantes surgindo nos próximos 10 anos, uma verdadeira ameaça de ransomware não chegaria a cena até 2004, quando o GpCode usou a criptografia RSA fraca para armazenar arquivos pessoais para resgate.
Em 2007, o WinLock anunciou o surgimento de um novo tipo de ransomware que, em vez de criptografar arquivos, bloqueava as pessoas de seus computadores. O WinLock assumiu a tela da vítima e exibiu imagens pornográficas. Em seguida, exigiu pagamento via SMS pago para removê-los.
Com o desenvolvimento da família de resgate Reveton em 2012, surgiu uma nova forma de ransomware: o ransomware de aplicação da lei. As vítimas seriam trancadas fora da área de trabalho e mostradas uma página de aparência oficial que incluía credenciais para agências policiais, como o FBI e a Interpol. O ransomware alegaria que o usuário havia cometido um crime, como invasão de computadores, download de arquivos ilegais ou até envolvimento com pornografia infantil. A maioria das famílias de ransomware de aplicação da lei exigia o pagamento de uma multa que varia de US $ 100 a US $ 3.000 com um cartão pré-pago, como UKash ou PaySafeCard.  
Os usuários comuns não sabiam o que pensar disso e acreditavam que estavam realmente sob investigação da polícia. Essa tática de engenharia social, agora chamada de culpa implícita, faz com que o usuário questione sua própria inocência e, em vez de ser chamado para uma atividade da qual não se orgulha, pague o resgate para que tudo desapareça.
Em 2013, o CryptoLocker reintroduziu o mundo na criptografia de ransomware - só que desta vez era muito mais perigoso. O CryptoLocker usou criptografia de nível militar e armazenou a chave necessária para desbloquear arquivos em um servidor remoto. Isso significava que era praticamente impossível para os usuários recuperar seus dados sem pagar o resgate. Esse tipo de ransomware de criptografia ainda está em uso atualmente, pois provou ser uma ferramenta incrivelmente eficaz para os criminosos cibernéticos ganharem dinheiro. Surtos de grande escala de ransomware, como o WannaCry em maio de 2017 e o Petya em junho de 2017, usavam ransomware de criptografia para prender usuários e empresas em todo o mundo.
No final de 2018, Ryuk entrou em cena no ransomware com uma série de ataques a publicações de notícias americanas, bem como à Onslow Water and Sewer Authority da Carolina do Norte. Em uma reviravolta interessante, os sistemas direcionados foram infectados com o Emotet ou o TrickBot , duas informações que roubam cavalos de Troia agora estão sendo usadas para fornecer outras formas de malware como o Ryuk, por exemplo. Diretor do Malwarebytes Labs, Adam Kujawa especula que o Emotet e o TrickBot estão sendo usados ​​para encontrar alvos de alto valor. Depois que um sistema é infectado e sinalizado como um bom alvo para ransomware, o Emotet / TrickBot reinfecta o sistema com o Ryuk.
Em notícias recentes, os criminosos por trás do ransomware Sodinokibi (uma suposta ramificação do GandCrab) começaram a usar os provedores de serviços gerenciados (MSP) para espalhar infecções. Em agosto de 2019, centenas de consultórios odontológicos em todo o país descobriram que não podiam mais acessar seus registros de pacientes. Os invasores usaram um MSP comprometido, neste caso uma empresa de software de registros médicos, para infectar diretamente mais de 400 consultórios odontológicos usando o software de manutenção de registros.

Mac ransomware

Como os que não foram deixados de fora do jogo de ransomware, os autores de malware do Mac abandonaram o primeiro ransomware para Mac OS em 2016. Chamado KeRanger , o ransomware infectou um aplicativo chamado Transmission que, quando iniciado, copiava arquivos maliciosos que permaneciam em execução silenciosa em segundo plano. três dias até que eles detonassem e criptografassem arquivos. Felizmente, o XProtect, programa anti-malware da Apple, lançou uma atualização logo após a descoberta do ransomware que o impediria de infectar os sistemas do usuário. No entanto, o ransomware para Mac não é mais teórico.

Ransomware móvel

Não foi até a altura do famoso CryptoLocker e outras famílias semelhantes em 2014 que o ransomware foi visto em larga escala em dispositivos móveis . O ransomware móvel normalmente exibe uma mensagem de que o dispositivo foi bloqueado devido a algum tipo de atividade ilegal. A mensagem indica que o telefone será desbloqueado após o pagamento de uma taxa. O ransomware móvel geralmente é entregue por aplicativos mal-intencionados e exige que você inicialize o telefone no modo de segurança e exclua o aplicativo infectado para recuperar o acesso ao seu dispositivo móvel.

A quem os autores de ransomware são direcionados?

Quando o ransomware foi introduzido (e depois reintroduzido), suas vítimas iniciais eram sistemas individuais (também conhecidos como pessoas comuns). No entanto, os cibercriminosos começaram a realizar todo o seu potencial quando lançaram ransomware para as empresas. O ransomware foi tão bem-sucedido contra as empresas, interrompendo a produtividade e resultando em perda de dados e receita, que seus autores voltaram a maioria dos ataques contra eles. Até o final de 2016, 12,3% das detecções corporativas globais eram ransomware, enquanto apenas 1,8% das detecções de consumidores eram ransomware em todo o mundo. E em 2017, 35% das pequenas e médias empresas haviam sofrido um ataque de ransomware.

Geograficamente, os ataques de ransomware ainda estão focados nos mercados ocidentais, com o Reino Unido, os EUA e o Canadá no ranking dos três principais países alvos, respectivamente. Assim como acontece com outros atores de ameaças, os autores de ransomware seguem o dinheiro, portanto procuram áreas que tenham ampla adoção de PC e riqueza relativa. À medida que os mercados emergentes da Ásia e da América do Sul aumentam o crescimento econômico, esperamos ver um aumento no ransomware (e outras formas de malware) lá também.

O que fazer se eu estiver infectado

A regra número um, se você estiver infectado com ransomware, é nunca pagar o resgate. (Agora esse é o conselho endossado pelo FBI .) Tudo o que faz é incentivar os cibercriminosos a lançar ataques adicionais contra você ou outra pessoa. No entanto, você pode recuperar alguns arquivos criptografados usando descriptografadores gratuitos.
Para ser claro: nem todas as famílias de ransomware tiveram decifradores criados para elas, em muitos casos porque o ransomware está utilizando algoritmos de criptografia avançados e sofisticados. E mesmo que exista um decodificador, nem sempre é claro se é a versão correta do malware. Você não deseja criptografar ainda mais seus arquivos usando o script de descriptografia errado. Portanto, você precisará prestar muita atenção à própria mensagem de resgate ou, talvez, solicitar o conselho de um especialista em segurança / TI antes de tentar qualquer coisa.
Outras maneiras de lidar com uma infecção por ransomware incluem baixar um produto de segurança conhecido por correção e executar uma verificação para remover a ameaça. Você pode não recuperar seus arquivos, mas pode ter certeza de que a infecção será limpa. Para o ransomware de bloqueio de tela, uma restauração completa do sistema pode estar em ordem. Se isso não funcionar, tente executar uma digitalização a partir de uma unidade de CD ou USB inicializável.
Se você quiser tentar impedir uma infecção por ransomware criptografada em ação, precisará ficar particularmente vigilante. Se você notar que seu sistema está desacelerando sem motivo aparente, desligue-o e desconecte-o da Internet. Se, depois de inicializar novamente, o malware ainda estiver ativo, ele não poderá enviar ou receber instruções do servidor de comando e controle. Isso significa que, sem uma chave ou forma de extrair o pagamento, o malware pode permanecer ocioso. Nesse ponto, baixe e instale um produto de segurança e execute uma verificação completa.

Como me protejo do ransomware ?

Os especialistas em segurança concordam que a melhor maneira de se proteger do ransomware é impedir que isso aconteça em primeiro lugar .

Embora existam métodos para lidar com uma infecção por ransomware, eles são soluções imperfeitas, na melhor das hipóteses, e geralmente exigem muito mais habilidade técnica do que o usuário médio do computador. Então, aqui está o que recomendamos que as pessoas façam para evitar consequências de ataques de ransomware.
O primeiro passo na prevenção de ransomware é investir em uma incrível segurança cibernética - um programa com proteção em tempo real projetado para impedir ataques avançados de malware, como o ransomware. Você também deve procurar recursos que protejam os programas vulneráveis ​​contra ameaças (uma tecnologia anti-exploração) e bloqueiem o ransomware de manter os arquivos como reféns (um componente anti-ransomware). Os clientes que estavam usando a versão premium do Malwarebytes para Windows , por exemplo, estavam protegidos de todos os principais ataques de ransomware de 2017.
Em seguida, por mais que lhe pareça, você precisa criar backups seguros de seus dados regularmente. Nossa recomendação é usar o armazenamento em nuvem que inclui criptografia de alto nível e autenticação de múltiplos fatores. No entanto, você pode adquirir USBs ou um disco rígido externo onde pode salvar arquivos novos ou atualizados - desconecte fisicamente os dispositivos do computador após fazer o backup, caso contrário eles também podem ser infectados com ransomware.
Em seguida, verifique se seus sistemas e software estão atualizados. O surto de ransomware WannaCry aproveitou uma vulnerabilidade no software da Microsoft. Embora a empresa tenha lançado um patch para a brecha de segurança em março de 2017, muitas pessoas não instalaram a atualização - o que as deixou abertas a ataques. Entendemos que é difícil manter-se no topo de uma lista sempre crescente de atualizações de uma lista sempre crescente de software e aplicativos usados ​​em sua vida diária. É por isso que recomendamos alterar as configurações para ativar a atualização automática.
Por fim, mantenha-se informado. Uma das maneiras mais comuns de os computadores serem infectados com ransomware é através da engenharia social . Eduque-se ( e seus funcionários, se você for proprietário de uma empresa) sobre como detectar spam, sites suspeitos e outros golpes. E, acima de tudo, exercite o bom senso. Se parece suspeito, provavelmente é.

Como o ransomware afeta meus negócios?

GandCrab, SamSam, WannaCry, NotPetya - todos são tipos diferentes de ransomware e estão afetando bastante os negócios. De fato, os ataques de ransomware às empresas aumentaram 88% no segundo semestre de 2018, à medida que os cibercriminosos se desviam dos ataques focados no consumidor. Os criminosos cibernéticos reconhecem que grandes empresas se traduzem em grandes retornos, visando hospitais, agências governamentais e instituições comerciais. No total, o custo médio de uma violação de dados , incluindo correções, multas e pagamentos de ransomware, chega a US $ 3,86 milhões.
A maioria dos casos de ransomware recentemente foram identificados como GandCrab . Detectado pela primeira vez em janeiro de 2018, o GandCrab já passou por várias versões, à medida que os autores da ameaça tornam seu ransomware mais difícil de defender e fortalecer sua criptografia. Estima-se que o GandCrab já arrecadou algo em torno de US $ 300 milhões em resgates pagos , com resgates individuais de US $ 600 a US $ 700.000.
Em outro ataque notável ocorrido em março de 2018, o ransomware SamSam paralisou a cidade de Atlanta desativando vários serviços essenciais da cidade - incluindo a coleta de receita e o sistema de manutenção de registros policiais. No total, o ataque do SamSam custou a Atlanta US $ 2,6 milhões para remediar .
Considerando a enxurrada de ataques de ransomware e o tremendo custo associado a eles, agora é um bom momento para ficar esperto ao proteger seus negócios contra ransomware. Cobrimos o tópico em grandes detalhes anteriormente, mas aqui está um rápido resumo de como proteger sua empresa contra malware.
  • Faça backup de seus dados. Supondo que você tenha backups disponíveis, remediar um ataque de ransomware é tão simples quanto limpar e reimaginar sistemas infectados. Convém verificar seus backups para garantir que eles não foram infectados, porque alguns ransomware foram projetados para procurar compartilhamentos de rede. Assim, você faria bem em armazenar backups de dados em um servidor de nuvem seguro com criptografia de alto nível e autenticação de múltiplos fatores.
  • Corrija e atualize seu software. O ransomware geralmente depende de kits de exploração para obter acesso ilícito a um sistema ou rede (por exemplo, GandCrab). Desde que o software em sua rede esteja atualizado, os ataques de ransomware baseados em exploração não podem prejudicá-lo. Nessa nota, se sua empresa opera com software obsoleto ou desatualizado, você corre o risco de ransomware, porque os fabricantes de software não estão mais lançando atualizações de segurança. Livre-se do abandonware e substitua-o por software ainda suportado pelo fabricante.
  • Eduque seus usuários finais com spam e crie senhas fortes. Os cibercriminosos empreendedores por trás do Emotet estão usando o antigo Trojan bancário como veículo de entrega de ransomware. O Emotet depende do spam para infectar um usuário final e se posicionar na sua rede. Uma vez na sua rede, o Emotet mostra um comportamento semelhante a um verme, espalhando-se de sistema em sistema usando uma lista de senhas comuns. Ao aprender a identificar mal-spam e implementar a autenticação multifator, você terá um passo à frente dos cibercriminosos.
  • Invista em boa tecnologia de segurança cibernética. O Malwarebytes Endpoint Protection and Response, por exemplo, oferece recursos de detecção, resposta e correção através de um agente conveniente em toda a sua rede.
O que você faz se já é vítima de ransomware? Ninguém quer lidar com ransomware após o fato.
  • Verifique e veja se há um decodificador. Em alguns casos raros, você pode descriptografar seus dados sem pagar, mas as ameaças de ransomware evoluem constantemente com o objetivo de tornar cada vez mais difícil descriptografar seus arquivos para não ter esperanças.
  • Não pague o resgate. Há muito tempo defendemos não pagar o resgate e o FBI (depois de algumas idas e vindas) concorda. Os cibercriminosos não têm escrúpulos e não há garantia de que você recuperará seus arquivos. Além disso, pagando o resgate, você está mostrando aos cibercriminosos que os ataques de ransomware funcionam.

Tags:

Postar um comentário

0 Comentários