Ransomware: o que é, como acontece o ataque, quais as medidas de prevenção?

Uma pesquisa anual realizada pela Sophos, trouxe novos insights sobre ataques, Ransomware com base na experiência das organizações de médio porte ao redor do mundo.

O relatório State of Ransomware 2024 explora não só os ataques, mas também como ele impacta suas vítimas ano a ano, com destaque para uma série de mudanças na frequência e no impacto do ransomware.  

Texto escrito em colaboração por: 
Adriana de Moraes | Arthur Barbosa | Nilton Botelho 

A pesquisa foi realizada de forma independente com 5.400 gerentes de TI em organizações de médio porte em 30 países em todo o mundo. 

entretanto, o relatório revelou que o número de organizações atingidas por ransomware aumentou significativamente nos últimos anos – 56% em 2023 contra 37% em 2021, o impacto financeiro de um ataque continuou sua trajetória ascendente, passando de US $ 1,85 milhão para US $ 2,73 milhões em 2023. 

Este fato foi atribuído à evolução dos ataques, com a adoção de estratégias mais direcionadas, mais avançadas e complexas, incluindo agora táticas de tripla extorsão. 

Com a divulgação de cada vez mais ataques nas empresas brasileiras, cresceu o interesse em saber não só sobre o que é o Ransomware, mas também se há como se prevenir do ataque. Nesse texto, você vai conferir dicas sobre quais as medidas de segurança da informação implementar para evitar riscos e como proceder em caso de ataque. 

Você vai conferir:

• O que é um ransomware?
• Um breve histórico
• Como acontece o ataque
• Quais medidas adotar para evitar riscos
• Como proceder em caso de ataque
• Vídeo com informações sobre prevenção de ataques e mais

O que é um ransomware?

Um ransomware é um software malicioso (malware) que infecta seu computador, criptografa os dados e exibe mensagens exigindo o pagamento de uma taxa para descriptografar e fazer o sistema voltar a funcionar.

Principalemte os tipos mais comuns de ransomware são “Cryptolocker”, que criptografa os seus arquivos, e “CTB Locker”, que impede a realização do login ao criptografar até o sistema operacional.​

Esse tipo de ataque é considerado uma ameaça altamente sofisticada, que pode afetar pessoas no mundo inteiro.

De ferramenta de extorsão a epidemia global 

O primeiro ransomware foi criado em 1989 por Joseph L. Popp, um biólogo evolucionário com PhD em Harvard. O Trojan AIDS, como ficou conhecido, enganava os usuários informando-lhes que a licença de um determinado software havia expirado.

24 anos depois, em setembro de 2013, conhecemos o CryptoLocker, que ficou famoso ao atingir todas as versões do Windows. O golpe consistia em um “sequestro” dos dados pessoais/ corporativos utilizando criptografia que exigia o pagamento médio de US$ 300 em até 2 horas em troca da chave para liberar os dados.

Um pouco mais tarde, em 2017, surgiu um dos mais famosos dos ransomwares, o WannaCry. O seu “sucesso” se deu devido a uma vulnerabilidade do Windows, descrita e corrigida no Boletim de Segurança da Microsoft. O malware acabou atingindo quem ainda não tinha realizado o update do sistema.

Semelhante ao ataque anterior, o WannaCry sequestrava os dados da vítima e pedia um resgate de US$ 300 em bitcoins, que deveria ser pago em até três dias.

Logo depois, em 2018, estima-se que ocorreu um destrutivo ataque de ransomware conhecido como GandCrab. Computa-se que o vírus tenha infectado aproximadamente 1,5 mi de computadores e que seus criadores tenham levado US$ 2 bilhões com o software.

Em 2023, o LockBit 3.0 – sucessor de operações como GandCrab – tornou-se o ransomware mais ativo do mundo, responsável por 28% dos ataques globais, segundo relatório da Check Point, 2024. Seus operadores usaram táticas ainda mais agressivas, como ataques “triplos’” (criptografia + extorsão + vazamento de dados). 

Claro que esses são apenas alguns dos malwares conhecidos. O fato é que, atualmente, os ataques estão cada vez mais sofisticados e frequentes, por isso é necessário que a equipe de segurança da informação esteja sempre atenta. 

Panorama atual do ransomware no Brasil 

O cenário que o Brasil enfrenta é alarmante, com 356 bilhões de tentativas de ataques cibernéticos apenas em 2024, tornando-o o país mais afetado da América Latina, segundo a Fortinet. Esse aumento significativo reflete uma tendência global, onde houve um crescimento de 11% nos ataques de ransomware em 2024, de acordo com a Check Point. No Brasil, foram registrados 123 incidentes de ransomware, dos quais 35 ocorreram apenas no último trimestre do ano. Além disso, a IBM relatou que, em 2022, o ransomware foi responsável por 32% dos ataques cibernéticos no país, destacando a persistência dessa ameaça. 

Empresas brasileiras têm sido particularmente vulneráveis, com 83% das organizações afetadas por ransomware optando por pagar o resgate para recuperar seus dados, conforme pesquisa da Sophos. O valor médio pago por empresa foi de US$ 1,22 milhão, deixando claro o impacto financeiro desses ataques. Em 2023, apesar de uma queda de 12 pontos percentuais nos incidentes de ransomware, os criminosos continuaram a inovar, reduzindo o tempo médio para concluir um ataque de dois meses para menos de quatro dias. 

Como acontece o ataque?

A sua propagação se dá, principalmente, através de e-mails maliciosos ou outras vulnerabilidades de segurança, como software com os patches de segurança não atualizados. 

Os ataques geralmente acontecem por meio da técnica de phishing (pescaria), principalmente com a utilização de Engenharia Social para que sejam mais efetivos. 

O ataque geralmente funciona da seguinte forma: 

1. Penetração na rede: a vítima recebe um e-mail que, apesar de parecer verídico, possui conteúdos maliciosos para atrair e enganar seus alvos a clicarem; 

2. O usuário faz o download do arquivo anexado ou clica em algum link mal intencionado para baixar um arquivo; 

3. Ao executar esse arquivo, você disponibiliza o seu login e senha para o atacante. É aí que o ransomware começa a criptografar todos os arquivos da máquina em um processo irreversível. 

4. Como a própria palavra já diz (“ransom” significa resgate), para que os dados sejam descriptografados ou “liberados”, é necessário o pagamento de um valor de “resgate” em Bitcoin, uma forma de pagamento anônima e não rastreável. O uso do bitcoin é vantajoso para os criminosos porque permite transações rápidas e difíceis de rastrear. Para as vítimas, pagar o resgate em Bitcoin é muito mais desvantajoso: mesmo após o pagamento, não há garantia de que os dados serão recuperados, e muitas vezes os arquivos podem estar corrompidos ou permanentemente perdidos. 

Quais medidas adotar para evitar ricos?

Geralmente, o ransomware vai precisar de uma ação sua para poder agir. Então, previna-se com algumas ações básicas

Medidas de segurança da informação para o usuário 

Para garantir a segurança ao lidar com e-mails, é importante observar se o remetente é um endereço confiável e evitar acessar links suspeitos. Tenha muito cuidado com e-mails marcados como spam e só faça download de documentos se reconhecer o remetente. Quando se trata de documentos na internet, verifique se o site de onde está baixando é seguro e confiável. Além disso, mantenha sempre o antivírus atualizado em seu dispositivo para proteger-se contra possíveis ameaças. 

Medidas de segurança da informação para a empresa 

Para manter-se seguro na internet, possuir um antivírus corporativo e mantê-lo sempre atualizado é a base. Utilize um firewall e adote o IDS (software que automatiza a detecção de intrusos) e o IPS (software que previne e impede ciberataques). Mantenha sempre um backup atualizado e auditado, sem esquecer de softwares originais e realização constante das atualizações de pacotes. Faça o monitoramento 24/7 dos ativos de TI e invista em autenticação de dois fatores. Tenha cuidado nos descartes de mídia e adote uma política de controle de acesso. Por fim, mas não menos importante, crie e espalhe uma política de segurança de informação. 

Confira mais dicas de segurança dadas por um dos nossos especialistas.

O papel da cultura de segurança da informação 

A cultura de segurança da informação existe para proteger as empresas contra ameaças como o ransomware. Isso significa criar um ambiente onde todos entendam a importância de proteger os dados e sistemas da empresa. Não é apenas sobre ter as melhores tecnologias, mas também sobre garantir que cada colaborador saiba como agir de forma adequada. Quando a segurança faz parte do dia a dia da empresa, todos se tornam mais vigilantes e preparados para enfrentar possíveis ataques. 

Ensinar os funcionários a identificar e responder a ameaças, como e-mails de phishing e links suspeitos, pode fazer toda a diferença. Treinamentos regulares ajudam a manter todos atualizados sobre as últimas técnicas de ataque e como evitá-las. Fora que, quando os colaboradores se sentem responsáveis pela segurança dos dados da empresa, o ambiente se torna muito mais resiliente. Contudo, a combinação de tecnologia de alta linha e uma equipe bem treinada é a chave para prevenir golpes cibernéticos. 

Como proceder em caso de ataque consumado?

Diversos especialistas de segurança, recomendam que você não pague pelo resgate dos arquivos, pois não há garantias que ele possa ser recuperado e você poderá cair em mais um golpe.

Afinal, dados da pesquisa da Sophos estimam que a probabilidade de recuperar todos os seus dados após o pagamento é muito pequena: menos de um em 10 (8%) recuperou todos os arquivos criptografados. Em média, as organizações que pagaram o resgate receberam de volta apenas 65% de seus dados, com 29% recebendo não mais da metade deles.

Pois,O ideal é formatar a máquina e iniciar uma instalação limpa do sistema operacional, devido a grande variedade desse vírus é difícil encontrar uma ferramenta que possa recuperar os arquivos.

Mas ainda há outras medidas técnicas importantes que devem ser tomadas:

• Verifique se há alguma conta nova cadastrada;
• Realize uma análise de logs;
• Verifique as conexões de rede;
• Verifique o roteamento da rede para identificar rotas diferentes do padrão.
• Utilize um SIEM – Gestão de eventos e Informação de Segurança, softwares que detectam e alertam sobre alterações na rede;
• Mantenha sempre uma cópia de segurança dos seus arquivos guardada para casos como esse.

Aprenda Mais

Assista nosso webinar sobre prevenção de ataques Ransomware e entenda melhor sobre as medidas de prevenção e a importância de um backup nesse contexto de ataque:

Ransomware e a LGPD: quais obrigações legais existem? 

A Lei Geral de Proteção de Dados (LGPD) estabelece várias obrigações para as empresas em caso de incidentes de segurança, como ataques de ransomware. Assim também quando ocorre um vazamento de dados, especialmente se envolver dados pessoais sensíveis, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados. Essa comunicação deve ser feita em um prazo não muito longo e incluir detalhes sobre a natureza dos dados comprometidos, os riscos envolvidos e as medidas que serão adotadas para mitigar os danos. 

Além disso, os vazamentos de dados sensíveis, como laudos médicos, podem ter consequências irreparáveis para as vítimas, incluindo riscos à privacidade e à segurança pessoal. Por isso, a LGPD exige que as empresas adotem medidas técnicas e organizacionais para proteger esses dados, como criptografia e controle de acesso rigoroso. Além do mais, as empresas podem enfrentar sanções administrativas e multas significativas se não cumprirem as diretrizes da legislação. 

Conclusão  

Sabendo o que é ransomware, sua evolução ao longo das décadas e as medidas que podem ser tomadas para prevenir ataques, tendo em vista que o golpe virtual continua a ser uma ameaça com previsões de se tornar ainda maior, se adaptando aos métodos de prevenção e combate desenvolvidos para tal, especialmente no Brasil, onde os ataques têm se tornado mais frequentes e sofisticados. Portanto a importância de uma cultura de segurança da informação mostra como a conscientização e o treino dos colaboradores podem se tornar a primeira linha de defesa de um negócio. 

Para proteger os dados e sistemas das empresas, é mais do que necessário investir em tecnologias de segurança, realizar treinamentos regulares e adotar políticas de segurança rigorosas. Ademais, estar preparado para responder rapidamente a incidentes de segurança e cumprir as obrigações legais estabelecidas pela LGPD pode ajudar a minimizar os danos causados por vazamentos de dados.  

Portanto, a combinação de medidas preventivas e uma cultura de segurança sólida são o ponto de virada para enfrentar a ameaça do ransomware e proteger os ativos de qualquer organização. em um prazo não muito longo e incluir detalhes sobre a natureza dos dados comprometidos, os riscos envolvidos e as medidas que serão adotadas para mitigar os danos. 

Os vazamentos de dados sensíveis, como laudos médicos, podem ter consequências irreparáveis para as vítimas, incluindo riscos à privacidade e à segurança pessoal. Por isso, a LGPD exige que as empresas adotem medidas técnicas e organizacionais para proteger esses dados, como criptografia e controle de acesso rigoroso. Além do mais, as empresas podem enfrentar sanções administrativas e multas significativas se não cumprirem as diretrizes da legislação.