No fim de 2015, as Previsões de Segurança da Trend Micro nomearam 2016 como o ano das extorsões online. Em um relatório divulgado hoje, a empresa revela por quê o ransomware funciona.
A avaliação explica com detalhes a psicologia e os métodos usados ao infectar e extorquir e dá sugestões de como se prevenir para não ser mais um alvo dessa ameaça.
De acordo com a Trend Micro, a operação de ransomware é simples: basta encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou arquivos críticos dentro dele e forçar a vítima a pagar o resgate. As primeiras variantes do ransomware se aproveitaram do medo de suas vítimas por meio de Cavalos de Troia, fingindo ser alertas legítimos de violações de leis federais para enganar os usuários, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware.
Os cibercriminosos que usam o ransomware passaram a dobrar seus esforços para expandir efetivamente seu alcance. Iscas de engenharia social continuam a funcionar mas agora em um escopo maior.
Em Maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de emails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de email amazon.com e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.
No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.
Para o pagamento do resgate, os desenvolvedores de ransomware criaram uma série de maneiras para convencer os usuários de que pagar o resgate é a melhor opção.
Em Abril, surgiu um novo tipo de ransomware chamado Jigsaw, que tem esse nome inspirado na franquia de filmes Saw ou Jogos Mortais em português. O método de extorsão envolve um cronômetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$150 – e assim recuperar o acesso aos arquivos criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de arquivos criptografados é apagado.
O Jigsaw mostra a direção que os chantagistas estão tomando hoje em dia – um ataque claro e evidente contra a psiquê da vítima.
Nos últimos meses, vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de usuários individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como ele pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias. Foi o caso do ataque que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC).
A partir deste ponto, o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas. E não foi nem será o último caso: segundo a Trend Micro até hoje, 50 novas famílias de ransomware já foram vistas apenas nos primeiros cinco meses de 2016. O mais alarmante é o fato de que a ameaça ainda continua crescendo – em número e nível de eficácia.
A Trend Micro lista abaixo passos simples para prevenir-se e antecipar de ataques via ransomware:
- Evite abrir e-mails não verificados ou clicar em links incorporados neles;
- Faça backup de arquivos importantes usando a regra do 3,2,1: crie 3 backups em 2 mídias diferentes com 1 backup em um local separado;
- Regularmente atualize o software para proteger contra as vulnerabilidades mais recentes.
