Atendimento ao cliente: (11) 4053-2155 / (11) 2858-4075
2016: Ransomware em massa
O ransomware continuou a crescer como uma erva daninha na cibersegurança e 2016 viu um aumento de onze vezes no número de modificações, com o resgate médio variando de 0,5 a centenas de bitcoins (que valiam uma fração do preço de hoje). O foco principal dos ataques mudou do usuário individual para o setor corporativo, levando justificadamente a falar sobre o surgimento de uma nova indústria do crime.
Os cibercriminosos não precisavam mais desenvolver malware por conta própria; eles poderiam simplesmente comprá-lo na prateleira. Por exemplo, uma “licença vitalícia” para o ransomware Stampado foi colocada à venda. O malware ameaça excluir arquivos aleatórios após um certo período de tempo para assustar as vítimas e fazê-las pagar o resgate.
O ransomware também se tornou disponível no modelo RaaS (Ransomware-as-a-Service), um termo que surgiu com o aparecimento do Encryptor RaaS. O modelo ajudou-o a se espalhar ainda mais amplamente.
Os criminosos começaram a visar organizações governamentais e municipais, além de empresas e usuários domésticos. O HDDCryptor, que infectou mais de 2.000 computadores da Agência Municipal de Transporte de São Francisco, serve como um excelente exemplo. Os cibercriminosos exigiram 100 BTC (então cerca de U$ 70 mil) para restaurar os sistemas, mas o departamento de TI da agência conseguiu resolver o problema sozinho.
2016–2017: Petya, NotPetya e WannaCry
Em abril de 2016, um novo malware chamado Petya apareceu. Enquanto os criptografadores anteriores haviam deixado os sistemas operacionais intactos para permitir que as vítimas pagassem o resgate, o Petya bloqueia completamente as máquinas infectadas; tem como alvo o MFT (Master File Table) – um banco de dados que armazena toda a estrutura de arquivos e pastas no disco rígido.
Por mais destrutivo que fosse, o mecanismo de penetração e distribuição de Petya era difícil. Para ativá-lo, a vítima precisava baixar e executar manualmente um arquivo executável, o que tornava a infecção menos provável. Na verdade, ele poderia não ter feito muita diferença se não fosse por outro ransomware – o apropriadamente denominado WannaCry.
Em maio de 2017, o WannaCry infectou mais de 500 mil dispositivos em todo o mundo, causando U$ 4 bilhões em danos. Como? Bom, incorporando o exploit EternalBlue, que aproveitou algumas vulnerabilidades muito perigosas do Windows. O Trojan se infiltrou nas redes e instalou o WannaCry nos computadores das vítimas. O malware então continuou, se espalhando para outros dispositivos na rede local. Dentro dos sistemas infectados, o WannaCry se comportava normalmente, criptografando arquivos e exigindo resgate.
Menos de dois meses após o surto de WannaCry, outro criptografador apareceu, também modificado para EternalBlue: NotPetya, também conhecido como ExPetr. O NotPetya devorou discos rígidos inteiros.
Além disso, NotPetya criptografou a tabela de arquivos de forma a excluir a descriptografia mesmo após o pagamento do resgate. Como resultado, os especialistas concluíram que era na verdade um limpador disfarçado de criptografador. O dano total ultrapassou U$ 10 bilhões.
O ataque WannaCry foi tão devastador que a Microsoft lançou um patch urgente para sistemas operacionais que nem tinham mais suporte. As atualizações para os sistemas suportados já estavam disponíveis muito antes de ambas as epidemias, mas nem todos os instalaram, permitindo que esses dois ransomware permanecessem por um longo tempo.
2017: Um milhão de dólares para descriptografar
Além dos prejuízos sem precedentes, outro recorde foi estabelecido em 2017, para o maior resgate conhecido de uma única organização. O provedor sul-coreano Nayana concordou em pagar U$ 1 milhão (20% do valor original) para desbloquear computadores infectados com o Erebus.
O que mais surpreendeu a comunidade de especialistas foi que a empresa anunciou publicamente o pagamento. A maioria das vítimas prefere não falar.
2018–2019: uma ameaça à sociedade
Os últimos anos são notáveis por ataques maciços de ransomware a utilitários e instalações da comunidade. Transporte, água, energia e instituições de saúde se encontravam cada vez mais em risco. Os cibercriminosos esperavam que eles pagassem também; mesmo com pedidos de resgate muito grandes, apagões de energia significariam deixar milhares ou milhões de pessoas em apuros.
Em 2018, por exemplo, um ataque de criptomalware no Aeroporto de Bristol, no Reino Unido, interrompeu as telas de exibição de voos por dois dias. A equipe recorreu ao uso de quadros brancos e, para crédito do aeroporto, sua resposta ao ataque foi rápida e eficaz. Pelo que sabemos, nenhum voo foi cancelado e nenhum resgate foi pago.
A Hancock Health, uma clínica americana, não se saiu tão bem assim, pagando 4 BTC (aproximadamente U$ 55 mil, na época) depois que o ransomware SamSam atingiu seus sistemas. Explicando a decisão da empresa de pagar o resgate, o CEO Steve Long citou uma tempestade de neve que se aproximava, juntamente com uma das piores temporadas de gripe. A clínica simplesmente não tinha tempo para restaurar seus computadores de forma independente.
Ao todo, mais de 170 agências municipais nos Estados Unidos foram vítimas de ransomware em 2019, com pedidos de resgate chegando a U$ 5 milhões. Atualizar os sistemas operacionais nessas organizações pode ser difícil, portanto, os cibercriminosos costumam usar vulnerabilidades antigas – e, portanto, mais acessíveis.
2020: Escala crescente e extorsão por meio de ameaças de vazamento de dados
Além da crescente escala de infecção, bem como das consequências e montantes de resgate, 2020 foi marcado por uma nova abordagem híbrida que viu o ransomware, antes de criptografar os dados, enviá-los aos operadores cibercriminosos. Seguidas por ameaças de vazamento de informações para concorrentes ou publicação. Dada a hipersensibilidade em relação aos dados pessoais hoje em dia, isso pode ser fatal para uma empresa. A tática foi dominada pela primeira vez pelo grupo Maze em 2019, mas em 2020 tornou-se uma tendência genuína.
A rede de cirurgia estética Transform Hospital Group foi vítima de um dos incidentes mais importantes de 2020. O grupo de hackers REvil criptografou e roubou 900GB de dados da Transform, incluindo fotos pré e pós-operação de pacientes, que os atacantes ameaçaram publicar.
Além disso, os criminosos por trás de criptomalware adotaram uma série de novas táticas em 2020. Por exemplo, o grupo REvil começou a leiloar informações roubadas. Os cibercriminosos também se uniram em organizações do tipo cartel. O primeiro foi o grupo Maze, que começou a postar informações roubadas pelo criptografador LockBit. De acordo com os cibercriminosos, agora estão trabalhando em estreita colaboração com a LockBit, fornecendo sua plataforma para vazamento de dados e compartilhando seu conhecimento.
Eles também se gabaram de que outro grupo notável logo se juntaria ao cartel: RagnarLocker, um pioneiro na organização de ataques DDoS aos recursos das vítimas como um holofote adicional sobre as empresas que extorquiam.
Conclusão
Em um período de três décadas, o ransomware evoluiu de um brinquedo relativamente inofensivo para uma séria ameaça aos usuários de todas as plataformas e, especialmente, às empresas. Para se proteger contra ataques, certifique-se de observar algumas regras de segurança – e se de alguma forma, uma invasão for bem-sucedida, é importante buscar ajuda de especialistas e não simplesmente obedecer às ordens dos cibercriminosos.
A CTI tem como missão conectar empresas ao futuro da Internet estável e segura, alinhando inovação tecnológica à simplicidade e dedicação de um atendimento especial. Conte com a CTI para levar sua empresa mais longe e de forma segura aqui