Muito se tem ouvido falar de ransomware, sobretudo após o massivo ataque do WannaCry, há apenas alguns meses atrás. A maioria das pessoas, porém, não sabe efetivamente do que se trata.
O ransomware é uma forma de extorsão informatizada, baseada no resgate de informação armazenada por indivíduos, empresas ou outras organizações. Na prática, o ransomware é um tipo de software malicioso (malware) que impede os utilizadores de acederem aos dispositivos ou ficheiros infetados, a não ser que seja pago um resgate, normalmente em BitCoins. O modus operandi passa, tipicamente, por três fases, que podem demorar apenas poucos minutos:
Infeção: a infeção por ransomware depende da execução de código malicioso, sendo que os atacantes recorrem a diversas estratégias para apanhar os utilizadores mais distraídos. As mais comuns são o envio de mensagens de email com anexos maliciosos, explorando falhas de segurança em versões não atualizadas dos sistemas operativos.
Sequestro: a técnica de sequestro da informação passa por um método de encriptação extremamente forte, que apenas os atacantes possuem (Cryptors), impossibilitando a sua abertura ou execução. Pode também passar pelo bloqueio do próprio sistema (Blockers), impedindo o seu acesso. Quando infetado por ransomware, o sistema apresenta uma mensagem, gerada automaticamente, com o procedimento para pagar o resgate e remover o bloqueio ou encriptação.
Extorsão: quando um computador ou servidor está infetado, é exigido o pagamento de um resgate, habitualmente em Bitcoins, para que seja fornecida a senha que permite voltar a ter acesso ao sistema ou ficheiros afetados.
A epidemia do século XXI
Quando a organização afetada não tem formas de segurança ativa ou cópias de backup atualizadas, podemos estar a falar de perdas avultadas e por vezes incalculáveis. Basta imaginar o caso do ataque ao sistema do Serviço Nacional de Saúde britânico: todas as informações pessoais, incluindo informação crucial para manter os pacientes com acesso aos serviços de saúde, ficariam bloqueadas. Isto porque, atualmente, e cada vez mais, todas as máquinas têm acesso permanente à Internet e estão ligadas em rede, o que é agravado pelo aumento do uso dos sistemas de cloud.
Considerado uma “epidemia informática”, o ransomware é hoje o maior temor da era da Revolução Digital. Imagine-se um ataque a uma instituição bancária: essa instituição vai, pelo menos, ponderar ceder à chantagem para conseguir recuperar as suas redes antes que se gere o pânico civil e surja uma corrida aos levantamentos por sensação de insegurança da sociedade em geral.
A Internet continua a ser o campo de batalha. Este trimestre, as deteções de malware subiram 41% em relação ao primeiro trimestre de 2017. Por sua vez, os ataques de rede diminuíram 30% em relação ao primeiro trimestre, embora tenhamos visto um novo aumento nos ataques Web de força bruta (brute force login attempt), em que o atacante tenta adivinhar o login e a password de forma sequencial, até encontrar uma combinação válida. As técnicas de phishing também continuam a ser muito usadas pelos criminosos para obterem dos utilizadores mais distraídos Logins e Passwords de acessos.
Sem medo, mas com “caldos de galinha”
Não é preciso ter medo, mas é essencial estar prevenido e obedecer às boas práticas. E ter uma checklist de segurança. É aconselhável que mantenha os seus sistemas atualizados e que recorra a sistemas de Firewall UTM/NGFW ou a uma solução de end point. Faça sempre backup da sua informação para que nunca tenha de pagar nenhum resgate. É também extremamente importante ter cópias de segurança atualizadas e armazenar a informação onde os ficheiros não possam ser alterados.
É igualmente aconselhável utilizar software que permita identificar e eliminar ataques, passando por soluções de end point antivírus. Nunca ative macros em anexos recebidos por email, uma vez que uma das formas mais comuns de infeção de ransomware é a execução de macros a pedido do atacante, aquando da execução dos anexos.
Não clique em links nem visite websites provenientes de mensagens de email suspeitas. Os atacantes incentivam os utilizadores a abrir documentos ou a clicar em links para entidades como a Autoridade Tributária e Aduaneira, Polícia Judiciária, Polícia de Segurança Pública ou outras empresas, como a DHL ou o Paypal. O conteúdo dos emails, normalmente, é de caráter urgente ou contém avisos de chegada de encomendas.
Por último, mostre sempre as extensões dos ficheiros a executar. Os ficheiros que podem trazer um eventual código malicioso podem ser renomeados, de “encomenda.pdf” para “encomenda.pdf.exe”, se tiverem esta opção ativa.
