Ransomwares: o vírus de resgate é a ameaça do momento no mundo digital

Ransomwares: o vírus de resgate é a ameaça do momento no mundo digital

Agosto 13, 2016

Os chamados vírus de computador tem atingido sistemas ao redor do mundo desde a década de 80. A nomenclatura “vírus de computador” foi designada para apenas uma categoria dos chamados malwares (malicious + software). Outros representantes dessa categoria são os Worms e os Cavalos de Troia. Os malwares são responsáveis por causar diversos problemas ao computador quando baixados: roubam informações, efetuam ataques, derrubam serviços, entre outros.

Um tipo especial de malware, conhecido como criptovírus, chamados dessa forma por utilizarem de criptografia em seus ataques, ganhou maior notoriedade nos últimos anos. O maior representante dessa categoria são os ransomwares, que tem se revelado uma das maiores ameaças digitais já conhecidas.

Um ransomware é capaz de criptografar informações do computador da vítima, impossibilitando o seu acesso. As informações então, só serão liberadas mediante pagamento de uma quantia em dinheiro. Os ransomwares tem evoluído de forma vertiginosa, tanto em estratégias de ataque quanto em impacto. Desde 2015 houve um aumento de 35% dos Crypto-Ransomwares, conhecidos dessa forma por criptografar os dados de sua vítima. Também, segundo a KASPERSKY (2016), houve um aumento de 30% dos ataques de ransomware no primeiro trimestre de 2016 comparado ao mesmo período de 2015. O número de vítimas desse período em 2016 gira em torno de 345.900.

Em linhas gerais os ataques de ransomware funcionam da seguinte maneira:

• Primeiramente utiliza-se formas de engenharia social para chegar até suas vítimas, ou seja, e-mails falsos, redirecionamento de links, etc.
• Uma vez no computador da vítima, o ransomware pode entrar, ou não, em contato com um servidor externo para adquirir a chave para criptografar as informações da vítima.
• Já com a chave a sua disposição, ele começa a selecionar arquivos a serem crioptografados, geralmente aqueles que podem possuir algum valor sentimental para o usuário como fotos, músicas, imagens, etc.
• Com as informações apreendidas o ransomware dá um jeito de avisar ao usuário e cobra a ele uma quantia para ser paga em troca da descriptografia dos dados.

É Importante destacar que muitos ransomwares cobravam de suas vítimas pagamentos em bitcoin, a moeda digital pseudoanônima. Por sua vez, os bitcoins, pertencente à categoria de criptomoeda, é puramente digital. Os donos de cada moeda são identificados apenas por uma sequencia de 26 a 35 caracteres, chamado de endereço de bitcoin. Cada pessoa física pode possuir quantos endereços quiser, o que torna muito difícil identificar o proprietário de cada quantia e quais são as partes envolvidas numa transação. Além do mais, o sistema de bitcoins é monitorado pela Blockchain: uma cadeia de blocos responsável por guardar todo o histórico de transações efetuadas em bitcoins, disponível abertamente na internet.

Tipos de ransomwares
O primeiro cripto ransomware que se teve notícia foi o AIDSTrojan em 1989, foi distribuído através de disquete e se propunha a oferecer informações sobre a AIDS. Quando infectava o computador, criptografava os dados da vítima e só descriptografava se a vítima enviasse dinheiro para o endereço indicado. A bem da verdade, a ciência da criptovirologia, que estuda criptovírus, começou no ambiente acadêmico. Seus pioneiros A. Young e M. Yung, num artigo intitulado ”Cryptovirology: Extortion-Based Security Threats and Countermeasures" (IEEE Symposium on Security & Privacy, 1996) descreveram técnicas algorítmicas que mostravam como a criptografia moderna poderia ser utilizada para fortalecer, melhorar e desenvolver novos ataques de software malicioso.

Atualmente os ransomwares estão cada vez mais perniciosos e difíceis de serem combatidos. Aqui estão alguns exemplos de ransomwares recentes:

• CryptoLocker: Foi um ransomware que popularizou esse tipo de ameaça. Descoberto em 2013 o CryptoLocker logo começou a ser espalhado ao redor do mundo, estimativas apontam que ele infectou por volta de 250.000 computadores e recebeu em torno de 30 milhões de dólares em bitcoins. Ao infectar o computador da vítima ele entrava em contato com um servidor para receber uma chave e codificar os arquivos da vítima com ela, em seguida sobrar o resgate. O CryptoLocker foi desativado pelo FBI em 2014.

• CryptoWall: O CryptoWall, descoberto no início de 2014, foi o sucessor do CryptoLocker e conseguiu um impacto ainda maior. Em apenas 6 meses, a Dell Secure Works estimou que 625.000 computadores foram infectados e até outubro de 2014 mais de 1 milhão. Além disso, de forma parecida com o CryptoLocker, no computador da vítima ele ainda, antes de codificar as informações da vítima, desativa o sistema de restauração do Windows e apaga os últimos 1000 pontos de restauração.

• Locky: O Locky é um ransomware que foi descoberto no início de 2016 e já apresenta algumas novidades em relação a seus antecessores. Ele chega até suas vítima através de um e-mail malicioso contendo um documento Word. Quando aberto, o documento aparenta estar embaralhado e para ser visualizado é preciso ativar uma macro – uma ferramenta de Word capaz de executar comandos no sistema – que, quando ativado, baixa o Locky. Além disso, antes de criptografar os dados da vítima, ele apaga todos os Shadow Volume Copies - arquivos usados para fazer a restauração do sistema caso algo aconteça

Existem vários outros tipos de ransomwares que merecem destaque principalmente por conta de sua evolução com relação a seus antecessores e inovações. Como exemplo o CTB-Locker e o KimcilWare que são capazes de infectar sites. O KeRanger obteve destaque em 2016 por infectar computadores com MacOS. Além disso, ransomwares tem conseguido infectar smartphones Android através majoritariamente dos Small e Fusob.

Ataques noticiados pela mídia
Como pôde ser observado, os ransomwares tem evoluído e se aperfeiçoado ao longo o tempo e hoje em dia foram responsáveis por inúmeros ataques que tem causado tantos danos financeiros a pessoas e a instituições.

Um dos grandes ataques de ransomwares conhecidos foi o que atingiu o Hollywood Presbyterian Medical Center em fevereiro de 2016. Um ransomware desconhecido criptografou os arquivos do hospital que ficou em condições precárias de funcionamento por 10 dias, até o pagamento de US$17.000. Durante esse período, o prontuário de pacientes e resultados de exames ficaram retidos nos computadores. Além disso 911 pacientes precisaram ser transferidos para outros hospitais devido a problemas de acesso a serviços digitais vitais para o funcionamento do hospital. Outros hospitais também foram alvos de ataques como os hospitais da rede MedStar, que sofreram ataque do ransomware Samsam.

Os grandes ataques registrados não se limitam apenas a hospitais, existem grandes ataques inclusive a polícia. Os ataques que receberam mais visibilidade na mídia foram três o de Tewksbury em 2014, Midlothia em 2015 e Swansea em 2013. Talvez o caso mais alarmante tenha sido o do departamento de polícia de Tewksbury foi atacado pelo CryptoLocker e ficou sem acesso a seus computadores por 5 dias até o pagamento de US$500.

Evolução
Os ransomwares tem evoluído ao longo do tempo com o objetivo de contornar estratégias de defesa e para tal tem utilizado abordagens bastante variadas.

Para poder ser espalhado de forma mais eficiente os ransomwares tem sido distribuídos através de servidores Exploit Kits. Esses servidores são acessados através de redirecionamento de links, ou seja, sem querer a vítima pode acessá-lo através do browser. Uma vezes acessado ele inicia uma varredura no computador da vítima procurando vulnerabilidades para poder forçar a instalação de vários tipos de malwares.

Uma outra abordagem usada em ataques de ransomwares é o “Ransomware as a Service” (RaaS). RaaS é uma tendência de oferecer ransomwares já prontos e customizáveis para usuários que requisitem esse tipo de serviço. Esse serviço possibilitou criminosos sem conhecimento técnico a terem seus próprios ransomwares e poderem distribuir por ai em troca, geralmente, de uma parcela do valor coletado com o malware para o fornecedor do serviço.

Uma outra evolução desses malwares é chamado ransomware cross-platform. Normalmente ransomwares são desenvolvidos para atacar apenas um sistema operacional, como o Windows ou o MacOS. Contudo alguns ransomwares como o Ransom32, são cross-platform, ou seja, ele pode atacar qualquer computador, independentemente do sistema operacional instalado.

Em contrapartida, várias técnicas de defesa tem surgido para frear o avanço dessa ameaça. A estratégia de defesa atualmente mais eficiente é a manutenção de backup externos, pois se ele estiver guardado dentro do computador alguns ransomwares podem o remover. O FBI tem feito diversas campanhas recomendando os usuários a não pagarem o valor, contudo, muitas vezes, sem backup, torna-se necessário o pagamento pelos dados de volta.

Há empresas especializadas que conseguem criar ferramentas para descriptografar os arquivos sem necessitar de pagamento, através da quebra da criptografia dos ransomwares. Contudo muitos ransomwares, uma vez neutralizados dessa forma, retornam através de uma variante com uma criptografia ainda mais forte.

Em suma, ransomwares tem ganhado visibilidade desde 2013 com o advento do CryptoLocker e desde então tem evoluído e chegando a um alto grau de sofisticação. As estatísticas apontam que seu crescimento pode causar, até o final de 2016 um desvio de até 1 bilhão de dólares em forma de resgate. Eles tem se tornado cada vez mais difíceis de serem controlados por conta de sua constante evolução e capacidade adaptativa em relação aos métodos de defesa. Alguns especialistas já alertam para a possibilidade de se tornarem, futuramente a ameaça numero 1 do universo digital.

Tomás Arruda de Almeida, bacharelando em Ciência da Computação da UFPE.

Ruy J.G.B. de Queiroz, Professor Titular, Centro de Informática da UFPE.