2017: o ano do ransomware

Estima-se que US$ 5 bilhões serão pagos em resgate por dados sequestrados em 2017; saiba como funciona um ransomware e como se proteger desta nova ameaça virtual (Crédito: Reprodução / Kaspersky)

João Loes (de São Francisco)

Vírus e programas maliciosos que chegam por e-mail e mensagem instantânea não são exatamente uma novidade. Só em 2016, estima-se que 580 milhões deles circularam na Web, segundo números da consultoria em segurança AV-Test. Até recentemente, porém, essas ameaças raramente diferiam muito de um programa para roubar dados bancários ou um software de furto de números de cartão de crédito. Em 2017, porém, isso deve mudar. E a mudança vem a reboque de um novo tipo de ameaça virtual que cresce em ritmo acelerado: o ransomware. “Este será o ano do ransomware”, diz Cláudio Martinelli, diretor geral para a América Latina da Kaspersky, uma das maiores empresas de software de segurança do mundo. “Essa família de programas maliciosos assumirá o posto de ameaça mais importante entre todas as ameaças virtuais de 2017”, afirma.
Mas o que é um ransomware? A palavra, composta pela fusão dos substantivos “ransom”, que significa “resgate”, e “software”, que significa “programa”, indica o caminho. Em linhas gerais, o ransomware é um programa malicioso que, uma vez instalado em um computador, criptografa todas as informações armazenadas no disco rígido e exige o pagamento de um resgate ao dono dessas informações para não destruí-las (leia quadro). Os números relativos à expansão dessa praga são assustadores.

RANSOMWARE: UM PROBLEMA DE US$ 5 BILHÕES

Um exemplo de ransomware em português da Teamxrat, desenvolvido para atacar vítimas no Brasil (Crédito:Reprodução / Kaspersky)

Em 2016, cerca de US$ 1 bilhão, o equivalente a pouco mais de R$ 3 bilhões, foram pagos em transações de resgate de dados sequestrados por ransomwares – em 2015, esse valor não chegou a US$ 25 milhões, segundo dados do FBI. Também em 2016, o número de e-mails com anexos que continham arquivos de ransomware dobrou a cada trimestre, com o registro de quatro mil ataques por dia ao final do ano, uma alta de 400% em relação a 2015, segundo levantamento da IBM. No período, o Brasil concentrou incríveis 92,3% dos ataques com ransomware na América Latina. Para efeito de comparação, em segundo lugar veio a Costa Rica, com 4% dos casos, segundo dados da Kaspersky. E as previsões para 2017 não são animadoras: no ano, os ransomwares devem movimentar nada menos que US$ 5 bilhões, o equivalente a cerca de R$ 15 bilhões, em transações de resgate, segundo levantamento revista especializada CIO.

Na RSA Conference 2017, uma das maiores feiras de segurança digital do mundo, o ransomware foi assunto para uma sessão de discussões que durou um dia inteiro (Crédito:Divulgação / RSA Conference)

Na RSA Conference 2017, uma das maiores e mais importantes feiras de cibersegurança do mundo, o tema ransomware foi onipresente. Uma das sessões da conferência, que aconteceu entre os dias 13 e 17 de fevereiro em São Francisco, nos Estados Unidos, foi dedicada integralmente ao assunto e durou um dia inteiro. Com apresentações de acadêmicos da Universidade Stanford, do Departamento de Segurança Nacional dos Estados Unidos (Homeland Security) e de especialistas de empresas de tecnologia como Symantec, Kaspersky e Intel, o boom desse tipo de ameaça foi esmiuçado e analisado.
“O ransomware cresceu e se tornou o fenômeno que é, atualmente, por dar ótimo retorno financeiro com baixo risco para o criminoso”, diz Candid Wueest, palestrante na RSA Conference e um dos principais pesquisadores de ameaças da Symantec, uma empresa de segurança digital. “Outras fraudes pressupõem a transferência de dinheiro entre contas correntes, por exemplo, o que deixa rastros”, diz Wueest. Como o ransomware funciona com as chamadas “criptomoedas” – tais como o bitcoin, que ganhou popularidade nos últimos cinco anos por ser quase impossível de rastrear – o criminoso se blinda na hora de cobrar e receber o resgate pelos dados que sequestrou.

O PASSO A PASSO DO SEQUESTRO DE DADOS
A base do golpe do ransomware é a criptografia, que permite ao criminoso tornar os arquivos salvos no computador ou smartphone da vítima inacessíveis a ela

Passo 1 – Primeiro contato
O usuário recebe um e-mail ou uma mensagem eletrônica com um anexo. Dependendo da sofisticação do criminoso, a mensagem pode chegar com remetente conhecido pelo usuário, o que aumenta as chances de abertura e execução do arquivo.

Passo 2 – Mordendo a isca
Enganado pela mensagem falsa, o usuário abre o anexo. O ransomware começa a rodar sem que ele perceba – um texto ou uma imagem é exibida para não levantar suspeitas sobre o verdadeiro objetivo do anexo.

Passo 3 – Criptografia do mal
O ransomware começa a criptografar pastas com fotos e arquivos armazenados no disco rígido do computador. É como se os arquivos fossem transformados em uma massa de informações que passa a ser ilegível sem uma senha – que só o criminoso possui.

Passo 4 – Chantagem digital
O ransomware exibe uma mensagem à vítima para informar que os arquivos foram criptografados e que, para voltar a ter acesso a eles, é preciso pagar um resgate. Para apressar a vítima, pastas específicas podem ser apagadas de hora em hora.

Passo 5 – Pagamento do resgate
O ransomware guia o usuário no processo de pagamento do resgate, feito quase sempre em bitcoins – moeda quase impossível de rastrear. Os valores costumam ficar entre US$ 500 e US$ 1,5 mil. Uma vez pago o resgate, os arquivos são descriptografados e o acesso liberado.

Outra razão para a explosão na incidência desse tipo de ameaça é a popularização dos chamados kits de ransomware, que são vendidos em mercados na internet. Foi-se o tempo em que um criminoso precisava dominar a tecnologia e desenvolver sua própria versão do código malicioso para usá-lo e colher os frutos da atividade ilegal. Hoje, qualquer um com conhecimento médio do assunto pode chegar a esses mercados e comprar uma versão de ransomware praticamente pronta para usar. Com pouca ou nenhuma noção de programação, o sujeito lança, aos milhares, e-mails e mensagens instantâneas levando seu software de sequestro de dados. Aí, é só esperar o dinheiro entrar.

Código fonte de ransomware é anunciado em site de vendas online por R$ 300; existe um mercado para compra e venda de códigos maliciosos usado por criminosos (Crédito:Reprodução / Kaspersky)

A operação desses mercados paralelos é tão sofisticada que existem times de criminosos digitais que não vendem, mas alugam seus ransomwares para terceiros. O aluguel é quitado pelos locatários com um percentual do resgate pago pelas vítimas do programa. “Temos acompanhado o funcionamento de um verdadeiro ‘complexo industrial hacker’”, diz Niloofar Howe, diretora de estratégia da RSA. “Já existe até serviço de call center hacker – se o cliente que comprou ou alugou um ransomware encontra problemas para usá-lo, ele pode ligar para uma central e tirar dúvidas com quem desenvolveu o programa”, afirma Niloofar. “Há grupos criminosos que investem na propaganda de suas ferramentas, tamanha a organização”, diz.
Com a demanda por esse tipo de código malicioso em alta, a concorrência entre os desenvolvedores tem estimulado a inovação. Já há ransomwares que apagam parte dos arquivos sequestrados de hora em hora para apressar o pagamento do resgate pela vítima. “E em 2016, cruzamos com um ransomware que faz uma proposta indecente à vítima: se ela se dispuser a infectar mais duas ou três pessoas, seus dados são liberados sem pagamento de resgate”, diz Alex Cox, diretor da FirstWatch, núcleo da RSA que detecta e identifica novas ameaças virtuais. “Essas são algumas das formas encontradas pelos criminosos para aumentar os ganhos com esse tipo de ameaça”, afirma.

COMO SE PROTEGER DO RANSOMWARE

Alguns ransomwares se disfarçam de informes oficiais de autoridades e cobram uma “multa”; na imagem, um exemplo de ransomware para smartphone Android (Crédito:Reprodução / Kaspersky)

Para os especialistas, ninguém está imune a um ataque de ransomware. “Toda informação tem valor para alguém, portanto, toda informação é passível de sequestro”, diz Niloofar, da RSA. Das planilhas de faturamento de uma empresa às fotos de aniversário de uma criança, tudo que tem valor para um CEO ou um pai de família está na mira dos sequestradores virtuais. Nesse sentido, todos devem se proteger. Entre as medidas mais eficientes estão a de fazer backup completo dos dados armazenados no computador e smartphone regularmente, guardar dados sensíveis em serviços de armazenamento na nuvem, manter atualizados todos os programas e apps, redobrar o cuidado com e-mails e seus anexos e ter uma única e boa solução de proteção instalada no computador e no smartphone.
Aos que já foram infectados, as opções são mais restritas, mas existem. A primeira recomendação das empresas de segurança ouvidas por ISTOÉ é simples: não pague o resgate. Não há garantias de que os dados serão de fato devolvidos. E, se eles forem devolvidos, não há garantias de que eles irão funcionar adequadamente. Uma opção é recorrer ao NO MORE RANSOM!, página criada por empresas privadas e órgãos públicos que reúne antídotos, ou decryptors, para as famílias de ransomware mais populares. Para usar o serviço, a vítima deve enviar uma amostra dos arquivos criptografados pelo programa que a infectou ou um trecho da mensagem que pede o resgate para que o sistema identifique o tipo de ameaça e indique a solução – se ela existir. O serviço é gratuito.

QUANTO VALE SUAS INFORMAÇÕES?
Essa é a pergunta básica colocada pelo ransomware. Quanto vale uma foto digital do seu filho? Um documento da sua empresa? Um e-mail com um pedido detalhado pelo seu chefe?

US$ 1 bilhão
foram pagos em resgate por dados sequestrados por ransomware em 2016

US$ 5 bilhões
serão pagos em resgate por dados sequestrados por ransomware em 2017

US$ 500
é o valor médio de um resgate pago pelo usuário final vítima de ransomware

US$ 30 mil
é o valor médio que as empresas se dizem dispostas a pagar por dados seqüestrados

65%
das empresas optam por pagar o resgate quando são vítimas de ransomware

Fontes: IBM, CIO/IDG e PhishMe

“Toda informação tem valor para alguém, portanto, toda informação é passível de sequestro”, disse Niloofar Howe, diretora de estratégia da RSA, durante a RSA Conference (Crédito:Divulgação / RSA Conference)

“Aos que foram infectados por um ransomware sem antídoto, há a opção de guardar todos os arquivos criptografados e esperar que a solução apareça no futuro próximo”, diz Anton Ivanov, analista sênior de malware do Kaspersky Lab. “Tem muita gente trabalhando para quebrar esses programas maliciosos, então se não há solução para um tipo hoje, ela pode surgir amanhã”, afirma.
Apesar da recomendação de que não se pague o resgate exigido pelos criminosos, não são poucas as pessoas – e as empresas – que optam pelo pagamento. Sabe-se que o valor médio de resgate pago por um usuário final vítima de ransomware é de cerca de US$ 500, ou R$ 1,5 mil e que cerca de 65% das empresas optam por pagar o resgate quando são vítimas desse tipo de crime (leia quadro). Algumas companhias chegam a estocar bitcoins para eventuais ataques, tamanha a frequência do sequestro de dados.
“Somos cada vez mais dependentes da nossa vida digital”, lembra Wueest, da Symantec. Os criminosos digitais entenderam isso e estão capitalizando. A reação da lei e das empresas de segurança tem acontecido. Resta torcer para que essa reação dê conta da rápida evolução e popularização dos ransomwares.
Confira galeria com exemplos de ransomwares em ação

Depois de criptografar os arquivos, o ransomware avisa a vítima do sequestro de dados e pede um resgate; na imagem, um ransomware para Windows em ação

Foto: Reprodução / Kaspersky

2 de 12 Alguns ransomwares se disfarçam de informes oficiais de autoridades e cobram uma "multa"; na imagem, um exemplo de ransomware para smartphone Android

Foto: Reprodução / Kaspersky

3 de 12 Código fonte de ransomware é anunciado em site de vendas online por R$ 300; existe um mercado para compra e venda de códigos maliciosos usado por criminosos

Foto: Reprodução / Kaspersky

4 de 12 Macs não estão imunes ao ransomware; na imagem, um exemplo de ataque do ransomware Mabouia ao sistema operacional da Apple

Foto: Reprodução / Kaspersky

5 de 12 Os ransomwares da família Jigsaw são populares entre criminosos virtuais; nesta versão, quando a vítima reinicia o computador, o ransomware apaga mil arquivos

Foto: Reprodução / Kaspersky

6 de 12 Um exemplo de ransomware em português da Teamxrat, desenvolvido para atacar vítimas no Brasil

Foto: Reprodução / Kaspersky

7 de 12 Na RSA Conference 2017, uma das maiores feiras de segurança digital do mundo, o ransomware foi assunto para uma sessão de discussões que durou um dia inteiro

Foto: Divulgação / RSA Conference

8 de 12 Na imagem, um ransomware que infecta usuários da rede Tor e que pede resgate de 0,5 Bitcoin, o que equivale a cerca de R$ 1,7 mil na cotação de 21.02.2017

Foto: Reprodução / Kaspersky

9 de 12 “Toda informação tem valor para alguém, portanto, toda informação é passível de sequestro", disse Niloofar Howe, diretora de estratégia da RSA, durante a RSA Conference 2017

Foto: Divulgação / RSA Conference

10 de 12 Os ransomwares determinam um prazo máximo para o pagamento do resgate; na imagem, se 2 Bitcoins (R$ 6,8 mil) não forem pagos em 71 horas, todos os dados serão apagados

Foto: Reprodução / Kaspersky

11 de 12 Mais um exemplo de ransomware, desta vez da família KeRanger, que ataca o sistema operacional dos Macs

Foto: Reprodução / Kaspersky

12 de 12 Boa parte dos pagamentos de resgate é feita com a criptomoeda Bitcoin, que é praticamente impossível de rastrear; na imagem, o ransomware Hidden Tear

Foto: Reprodução / Kaspersky

O jornalista viajou a convite da RSA.