O ransomware é um tipo de malware que mantém os dados ou o refém do dispositivo de uma vítima, ameaçando mantê-los bloqueados (ou piores), a menos que a vítima pague um resgate ao invasor.
De acordo com o Índice IBM Security X-Force Threat Intelligence de 2023, os ataques de ransomware representaram 17% de todos os ataques cibernéticos de 2022.
Os primeiros ataques de ransomware simplesmente exigiam um resgate em troca da chave de criptografia necessária para recuperar o acesso aos dados afetados ou o uso do dispositivo infectado. Ao fazer backups de dados regulares ou contínuos, uma organização pode limitar os custos desses tipos de ataques de ransomware e, muitas vezes, evitar pagar a exigência de resgate.
Mas, nos últimos anos, os ataques de ransomware evoluíram para incluir ataques de extorsão dupla e tripla, que aumentam consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente os backups de dados ou pagam o pedido inicial de resgate estão em risco. Os ataques de extorsão dupla adicionam a ameaça de roubar os dados da vítima e vazá-los online. Além disso, os ataques de extorsão tripla ameaçam usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.
O índice X-Force Threat Intelligence de 2023 descobriu que a participação do ransomware em todos os incidentes de cibersegurança diminuiu 4% de 2021 a 2022. A diminuição provavelmente se deve ao fato de os defensores serem mais bem-sucedidos na detecção e prevenção de ataques de ransomware. Mas essa descoberta positiva foi eclipsada por uma enorme redução de 94% na linha de tempo média de ataque, de 2 meses para menos de 4 dias. Isso dá às organizações muito pouco tempo para detectar e impedir possíveis ataques.
Vítimas e negociadores de ransomware relutam em divulgar valores de pagamentos de resgates. No entanto, de acordo com o Guia definitivo do ransomware, as exigências de resgate cresceram para valores de sete e oito dígitos. E os pagamentos de resgate são apenas uma parte do custo total de uma infecção por ransomware. De acordo com o relatório do custo das violações de dados de 2023 da IBM , o custo médio da violação de dados causada por um ataque de ransomware foi de US$ 5,13 milhões. Espera-se que ataques de ransomware custem às vítimas um total estimado de US$ 30 bilhões em 2023 (link externo a ibm.com).
Mantenha-se informado sobre as últimas tendências em crimes cibernéticos com o guia definitivo sobre ransomware da IBM.
Cadastre-se para obter o relatório do custo das violações de dados
Existem dois tipos gerais de ransomware. O tipo mais comum, chamado de ransomware criptografado ou ransomware cripto, mantém os dados da vítima como reféns criptografando-os. Em seguida, o invasor exige um resgate em troca do fornecimento da chave de criptografia necessária para decriptografar os dados.
A forma menos comum de ransomware, chamada de ransomware não criptografado ou ransomware de bloqueio de tela, bloqueia todo o dispositivo da vítima, geralmente bloqueando o acesso ao sistema operacional. Em vez de ser inicializado como de costume, o dispositivo exibe uma tela que faz a exigência de resgate.
Esses dois tipos podem ser divididos nessas subcategorias:
- Leakware/doxware é um ransomware que rouba, ou exfiltra, dados confidenciais e ameaça publicá-los. Enquanto formas anteriores de leakware ou doxware muitas vezes roubavam dados sem criptografá-los, as variantes atuai geralmente fazem as duas coisas.
- O ransomware móvel inclui todos os ransomwares que afetam dispositivos móveis. Entregue por meio de aplicativos maliciosos ou download direto, o ransomware móvel geralmente é um ransomware não criptografado, porque os backups automatizados de dados na nuvem, padrão em muitos dispositivos móveis, facilitam a reversão de ataques de criptografia.
- Wipers/ransomware destrutivo ameaça destruir os dados se o resgate não for pago, exceto nos casos em que o ransomware destrói os dados mesmo que o resgate seja pago. Suspeita-se que esse último tipo de wiper seja implantado por agentes ou hacktivistas de estados-nação, em vez de cibercriminosos comuns.
- O Scareware é exatamente o que parece: ransomware que tenta assustar os usuários para que pagem um resgate. Scareware pode se passar por uma mensagem de uma agência fiscalizadora, acusando a vítima de um crime e exigindo uma multa. Alternativamente, ele pode falsificar um alerta de infecção por vírus legítimo, incentivando a vítima a comprar software antivírus ou antimalware. Às vezes, o scareware é um ransomware, criptografando os dados ou bloqueando o dispositivo; em outros casos, é o vetor do ransomware, que não criptografa nada, mas coage a vítima a baixar o ransomware.
Ataques de ransomware podem usar vários métodos, ou vetores, para infectar uma rede ou um dispositivo. Alguns dos mais proeminentes vetores de infecção por ransomware incluem:
- E-mails de phishing e outros ataques de engenharia social: Os e-mails de phishing manipulam os usuários para que baixem e executem um anexo malicioso. Esse anexo pode conter o ransomware disfarçado como um .pdf de aparência inofensiva, um documento do Microsoft Word ou outro arquivo. Eles também podem induzir os usuários a visitar um site malicioso que passa o ransomware pelo navegador da Web do usuário. No Cyber Resilient Organization Study 2021 da IBM, phishing e outras táticas de engenharia social causaram 45% de todos os ataques de ransomware relatados pelos participantes da pesquisa, tornando-os os mais comuns de todos os vetores de ataques de ransomware.
- Vulnerabilidades do sistema operacional e do software: os cibercriminosos geralmente exploram as vulnerabilidades existentes para injetar código malicioso em um dispositivo ou uma rede. As vulnerabilidades de dia zero, que são vulnerabilidades desconhecidas pela comunidade de segurança ou identificadas, mas ainda não corrigidas, representam uma ameaça específica. Algumas quadrilhas de ransomware compram informações sobre falhas de dia zero de outros hackers para planejar seus ataques. Os hackers também usaram efetivamente vulnerabilidades corrigidas como vetores de ataque, como foi o caso do ataque WannaCry de 2017.
- Roubo de credenciais: os cibercriminosos podem roubar credenciais de usuários autorizados, comprá-las na dark web ou quebrá-las por meio da força bruta. Eles podem usar essas credenciais para fazer login em uma rede ou um computador e implementar o ransomware diretamente. O Remote Desktop Protocol (RDP), um protocolo proprietário desenvolvido pela Microsoft para permitir que os usuários acessem um computador remotamente, é um alvo popular de roubo de credenciais entre os invasores de ransomware.
- Outro malware: os hackers costumam usar o malware desenvolvido para outros ataques a fim de entregar um ransomware a um dispositivo. O cavalo-de-troia Trickbot, por exemplo, originalmente projetado para roubar credenciais bancárias, foi usado para espalhar a variante de ransomware Conti em 2021.
- Downloads drive-by: os hackers podem usar sites para transferir ransomware para dispositivos sem o conhecimento dos usuários. Os kits de exploração usam sites comprometidos para verificar os navegadores dos visitantes em busca de vulnerabilidades de aplicativos da web que eles podem usar para injetar ransomware no dispositivo. Malvertising (anúncios digitais legítimos que foram comprometidos por hackers) podem transmitir ransomware para dispositivos, mesmo que o usuário não clique no anúncio.
Os cibercriminosos não precisam necessariamente desenvolver seu próprio ransomware para explorar esses vetores. Alguns desenvolvedores de ransomware compartilham seu código de malware com cibercriminosos por meio de acordos de ransomware como serviço (RaaS). O cibercriminoso, ou "afiliado", usa o código para realizar um ataque e, em seguida, divide o pagamento do resgate com o desenvolvedor. É uma relação mutuamente benéfica: os afiliados podem lucrar com a extorsão sem ter que desenvolver seu próprio malware, e os desenvolvedores podem aumentar seus lucros sem lançar ciberataques adicionais.
Os distribuidores de ransomware podem vender ransomware por meio de mercados digitais ou recrutar afiliados diretamente por fóruns on-line ou caminhos semelhantes. Grandes grupos de ransomware investiram somas significativas em dinheiro para atrair afiliados.
Um ataque de ransomware normalmente passa por esses estágios.
Os vetores de acesso mais comuns para ataques de ransomware continuam a ser phishing e exploração de vulnerabilidades.
Dependendo do vetor de acesso inicial, esse segundo estágio pode envolver uma ferramenta intermediária de acesso remoto (RAT) ou malware antes de estabelecer o acesso interativo.
Durante esse terceiro estágio do ataque, os invasores se concentram em entender o sistema local e o domínio aos quais eles têm acesso atualmente. Os invasores também trabalham para obter acesso a outros sistemas e domínios (chamado de movimento lateral).
Aqui, os operadores de ransomware mudam de foco para identificar dados valiosos e exfiltrá-los (roubá-los), geralmente fazendo download ou exportando uma cópia para si mesmos. Embora os invasores possam exfiltrar todo e qualquer dado que possam acessar, eles geralmente se concentram em dados especialmente valiosos (credenciais de login, informações pessoais dos clientes, propriedade intelectual) que podem usar para extorsão dupla.
O ransomware cripto começa a identificar e criptografar arquivos. Alguns ransomware cripto também desativam os recursos de restauração do sistema ou excluem ou criptografam backups no computador ou na rede da vítima para aumentar a pressão para pagar pela chave de decriptografia. O ransomware não criptografado bloqueia a tela do dispositivo, inunda o dispositivo com pop-ups ou impede que a vítima use o dispositivo.
Uma vez que os arquivos foram criptografados ou o dispositivo foi desativado, o ransomware alerta a vítima da infecção. Essa notificação geralmente é enviada por meio de um arquivo .txt depositado na área de trabalho do computador ou por meio de um pop-up. A nota de resgate contém instruções sobre como pagar o resgate, geralmente em criptomoeda ou um método igualmente não rastreável. O pagamento é feito em troca de uma chave de descriptografia ou da restauração das operações padrão.
Desde 2020, pesquisadores de segurança cibernética identificaram mais de 130 famílias ou variantes distintas e ativas de ransomware: cepas exclusivas de ransomware com suas próprias assinaturas de código e funções.
Ao longo dos anos, muitas variantes de ransomware circularam. Várias cepas são especialmente notáveis pela extensão de sua destruição, como influenciaram o desenvolvimento de ransomware ou pelas ameaças que ainda representam hoje.
CryptoLocker
Aparecendo pela primeira vez em setembro de 2013, o CryptoLocker é amplamente creditado como o pontapé inicial da era moderna do ransomware. Espalhado usando uma botnet (uma rede de computadores interceptados), o CryptoLocker foi uma das primeiras famílias de ransomware a criptografar fortemente os arquivos dos usuários. Extorquiu cerca de US$ 3 milhões antes que um esforço internacional de segurança pública o encerrasse em 2014. O sucesso do CryptoLocker gerou inúmeros copicats e abriu caminho para variantes como o WannaCry, Ryuk e Petya.
WannaCry
O primeiro criptoworm de alto perfil — ransomware que pode se espalhar para outros dispositivos em uma rede. O WannaCry atacou mais de 200.000 computadores em 150 países. Os computadores afetados estavam vulneráveis porque os administradores não haviam corrigido a vulnerabilidade EternalBlue do Microsoft Windows. Além de criptografar dados sensíveis, o ransomware WannaCry ameaçou excluir arquivos se o pagamento não fosse recebido dentro de sete dias. Ele continua sendo um dos maiores ataques de ransomware até o momento, com custos estimados de até US$ 4 bilhões.
Petya e NotPetya
Ao contrário de outros ransomware cripto, o Petya criptografa a tabela do sistema de arquivos em vez de arquivos individuais, tornando o computador infectado incapaz de iniciar o Windows. Uma versão fortemente modificada, NotPetya, foi usada para realizar um ciberataque em larga escala, principalmente contra a Ucrânia, em 2017. O NotPetya era um limpador incapaz de desbloquear sistemas mesmo após o pagamento do resgate.
Ryuk
Visto pela primeira vez em 2018, o Ryuk popularizou ataques de "ransomware big-game" contra alvos específicos de alto valor, com exigências de resgate em média de mais de US$ 1 milhão.O Ryuk pode localizar e desativar arquivos de backup e recursos de restauração do sistema; uma nova cepa com recursos de cryptoworm foi descoberta em 2021.
DarkSide
Executado por um grupo suspeito de estar operando fora da Rússia, o DarkSide é a variante de ransomware que atacou o U.S. Colonial Pipeline em 7 de maio de 2021. Essa variante é considerada o pior ataque cibernético à infraestrutura crítica dos EUA até o momento. Como resultado, o oleoduto, que fornece 45% do combustível da costa leste dos EUA, ficou temporariamente fora de operação. Além de lançar ataques diretos, o grupo DarkSide também licencia seu ransomware para afiliados por meio de acordos de RaaS.
Locky
O Locky é um ransomware criptografado com um método distinto de infecção. Ele usa macros ocultas em anexos de e-mail (arquivos do Microsoft Word) disfarçados como faturas legítimas. Quando um usuário baixa e abre o documento do Microsoft Word, macros maliciosas fazem o download secretamente da carga útil do ransomware para o dispositivo do usuário.
REvil/Sodinokibi
O REvil, também conhecido como Sodin ou Sodinokibi, ajudou a popularizar a abordagem RaaS para distribuição de ransomware. Conhecido pelo uso em caçadas e ataques de dupla extorsão a alvos grandes, o REvil esteve por trás dos ataques de 2021 contra a famosa JBS USA e a Kaseya Limited. A JBS pagou um resgate de US$ 11 milhões após toda a operação de processamento de carne bovina americana ter sido interrompida, e mais de 1.000 dos clientes de software da Kaseya foram afetados por um tempo de inatividade significativo. O Serviço Federal de Segurança Russo informou que desmantelou o REvil e processou vários de seus membros no início de 2022.
Até 2022, a maioria das vítimas de ransomware atendia às exigências de resgate de seus invasores. Por exemplo, no Cyber Resilient Organization Study 2021 da IBM, 61% das empresas participantes que sofreram um ataque de ransomware nos dois anos anteriores ao estudo disseram que pagaram um resgate.
Mas relatórios recentes indicam uma mudança em 2022. A empresa de resposta a incidentes de extorsão cibernética Coveware divulgou descobertas de que apenas 41% das vítimas de ransomware de 2022 pagaram um resgate, em comparação com 51% em 2021 e 70% em 2020 (link fora de ibm.com). E a Chainanalysis, provedora de plataforma de dados blockchain, relatou que os invasores de ransomware extorquiram quase 40% menos dinheiro das vítimas em 2022 do que em 2021 (link fora de ibm.com). Especialistas apontam melhor preparação para cibercrimes (incluindo backups de dados) e maior investimento em tecnologia de prevenção e detecção de ameaças como possíveis fatores por trás dessa reversão.
Orientação da segurança pública
As agências federais de segurança pública dos EUA desencorajam unanimemente as vítimas de ransomware a pagar exigências de resgate. De acordo com a National Cyber Investigative Joint Task Force (NCIJTF), uma coalizão de 20 agências federais dos EUA parceiras encarregadas de investigar ameaças cibernéticas:
"O FBI não incentiva o pagamento de um resgate a agentes criminais. O pagamento de um resgate pode encorajar os adversários a visar organizações adicionais, incentivar outros agentes criminais a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas. O pagamento do resgate também não garante que os arquivos da vítima sejam recuperados."
As agências de segurança pública recomendam que as vítimas de ransomware relatem os ataques às autoridades competentes, como o Internet Crime Complaint Center (IC3) do FBI, antes de pagar um resgate. Algumas vítimas de ataques de ransomware podem ser legalmente obrigadas a relatar infecções por ransomware, independentemente de o resgate ser pago ou não. Por exemplo, a conformidade com HIPAA geralmente exige que entidades de assistência médica relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos.
Sob certas condições, pagar um resgate pode ser ilegal. Um comunicado de 2020 do Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA destaca isso. Ele afirma que pagar um resgate a invasores em países sob sanções econômicas dos EUA, como Rússia, Coreia do Norte ou Irã, seria uma violação dos regulamentos do OFAC. Os infratores podem enfrentar penalidades civis, multas ou acusações criminais.
Para se defender contra ameaças de ransomware, agências federais como a CISA, a NCIJFT e o Serviço Secreto dos EUA recomendam que as organizações tomem certas medidas de precaução, como:
- Manter backups de dados sensíveis e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede.
- Aplicar correções regularmente para ajudar a impedir ataques de ransomware que exploram vulnerabilidades do software e do sistema operacional.
- Atualizar ferramentas de segurança cibernética incluindo software antimalware e antivírus, firewalls, ferramentas de monitoramento de rede e gateways web seguros. Além disso, usando soluções corporativas de segurança cibernética, como orquestração, automação e resposta de segurança (SOAR), detecção e resposta de endpoint (EDR), gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta estendida (XDR). Essas soluções ajudam as equipes de segurança a detectar e responder a ransomware em tempo real.
- Treinamento em cibersegurança dos funcionários para ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware.
- Implementação de políticas de controle de acesso, incluindo autenticação multifatorial, arquitetura de zero trust, segmentação de rede e medidas semelhantes. Essas medidas podem impedir que o ransomware atinja dados particularmente confidenciais e evitar que os criptoworms se espalhem para outros dispositivos na rede.
Embora as ferramentas de decriptografia para algumas variantes de ransomware estejam disponíveis publicamente por meio de projetos como o No More Ransom (link fora do ibm.com), a remediação de uma infecção ativa por ransomware geralmente requer uma abordagem multifacetada. Consulte o Guia Definitivo do Ransomware da IBM Security para ver um exemplo de plano de resposta a incidentes de ransomware modelado com base no ciclo de vida de resposta a incidentes do Instituto Nacional de Padrões e Tecnologia (NIST).
1989: o primeiro ataque de ransomware documentado, conhecido como AIDS Trojan ou "ataque P.C. Cyborg", foi distribuído por meio de disquetes. Ele ocultava os diretórios de arquivos no computador da vítima e exigia US$ 189 para desocultá-los. Mas, como criptografava os nomes dos arquivos em vez de os próprios arquivos, era fácil para os usuários reverter o dano sem pagar um resgate.
1996: Ao analisar as falhas do vírus Trojan da AIDS, os cientistas da computação Adam L. Young e Moti Yung alertaram sobre futuras formas de malware. Eles disseram que o malware futuro poderia usar criptografia de chave pública mais sofisticada para manter dados confidenciais como reféns.
2005: após relativamente poucos ataques de ransomware no início da década de 2000, começa um aumento de infecções, centralizado na Rússia e na Europa Oriental. Aparecem as primeiras variantes que utilizam criptografia assimétrica. À medida que novos ransomware ofereciam formas mais eficazes de extorquir dinheiro, mais cibercriminosos começaram a disseminar ransomware em todo o mundo.
2009: a introdução das criptomoedas, especialmente o Bitcoin, oferece aos criminosos cibernéticos uma maneira de receber pagamentos de resgate não rastreáveis, impulsionando a próxima disparada na atividade de ransomware.
2013: a era moderna do ransomware começa com o CryptoLocker inaugurando a onda atual de ataques de ransomware baseados em criptografia altamente sofisticados, que solicitam pagamento em criptomoedas.
2015: a variante do ransomware Tox introduz o modelo de ransomware-as-a-service (RaaS).
2017: aparece o WannaCry, o primeiro criptoworm autorreplicante amplamente usado.
2018: o Ryuk popularizou a caça de grandes alvos com ransomware.
2019: os ataques de ransomware de extorsão dupla e tripla começam a aumentar. Quase todos os incidentes de ransomware aos quais a equipe de resposta a incidentes do IBM Security X-Force respondeu desde 2019 envolveram dupla extorsão.
2022: sequestro de encadeamentos, no qual os cibercriminosos se inserem nas conversas on-line dos alvos, surge como um importante vetor de ransomware.
Supere ataques com um conjunto de segurança conectado e modernizado. O portfólio de QRadar está incorporado à IA de nível empresarial e oferece produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
Impeça que o ransomware interrompa a continuidade dos negócios e recupere-se rapidamente quando ocorrerem ataques com uma abordagem zero trust. Essa abordagem pode ajudá-lo a detectar e responder a ransomware com mais rapidez e minimizar o impacto de ataques de ransomware.
Use nossos serviços de segurança defensiva, que incluem programas de preparação, detecção e resposta a emergências por assinatura, para ajudar a detectar, responder e conter incidentes antes que danos significativos possam ocorrer.
Empregue nossos serviços de segurança ofensiva, que incluem testes de penetração, gerenciamento de vulnerabilidades e simulação de adversários, para ajudar a identificar, priorizar e corrigir falhas de segurança que cobrem todo o seu ecossistema digital e físico.
Transforme sua empresa e gerencie os riscos com um líder mundial em consultoria de cibersegurança, nuvem e serviços de segurança gerenciados.
Proteja proativamente os sistemas de armazenamento primário e secundário da sua organização contra ransomware, erro humano, desastres naturais, sabotagem, falhas de hardware e outros riscos de perda de dados.
Inscreva-se para o webinar no dia 11 de junho de 2024 às 11h EDT para saber como você pode combinar o poder do IBM Storage Defender e do IBM FlashSystem para combater o ransomware.
Assista à gravação sob demanda para aprender as etapas práticas que você pode seguir para criar uma operação mais resiliente e proteger seus dados.<sup></sup>
Encontre insights acionáveis que ajudam você a entender como os agentes de ameaças estão realizando ataques e como proteger proativamente sua organização.
Leia o relatório, que está em sua 18ª edição, para obter os insights mais recentes sobre o cenário de ameaças em expansão e recomendações para economizar tempo e limitar as perdas.
Descubra como as informações de segurança e o gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como acompanhamento e registro de dados de segurança para fins de conformidade ou auditoria.
Descubra como Los Angeles fez uma parceria com a IBM Security para criar o primeiro grupo de compartilhamento de ameaças cibernéticas do gênero para se proteger contra o crime cibernético.
Trabalhe com arquitetos e consultores de segurança sênior da IBM para priorizar suas iniciativas de cibersegurança em uma sessão de design thinking presencial, virtual ou sem custo, com três horas de duração.