O que o ransomware permite que os hackers façam?

O que o ransomware permite que os hackers façam?

Em um ataque de ransomware, os hackers usam malware para criptografar, excluir ou manipular dados, propriedade intelectual ou informações pessoais. Isso permite que o invasor mantenha as informações, dispositivos ou sistemas como reféns digitais até que a vítima atenda às exigências de resgate do ciber criminoso, que geralmente envolvem um pagamento seguro que não possa ser rastreado.

O uso de ransomware segue sendo uma das táticas mais lucrativas para ciber criminosos, com pedidos crescentes de resgate que variam de US$ 1 milhão a US$ 10 milhões. É importante observar que efetuar o pagamento do resgate exigido pelo hacker não é garantia de que o sistema será restaurado ou que os dados roubados não serão compartilhados ou vendidos na dark web.

Técnicas dos hackers que utilizam ransomware

O ransomware permite que hackers persuadam as convençam as vítimas a pagar dinheiro por meio de dois métodos:

1. Criptografia de dados
2. Roubo de Dados

1. Criptografia de dados

Ataques de ransomware são centrados no hacker que está criptografando os arquivos da vítima para exigir um pagamento de resgate para descriptografar esses arquivos. A forma como os arquivos são criptografados muda de acordo com a variante do ransomware, mas eles normalmente entram em um sistema e buscam arquivos de tipos específicos. Para recuperar os arquivos, a vítima precisa pagar um resgate para obter uma chave de descriptografia, mas isso nem sempre funciona.

Muitas variantes de ransomware agora têm capacidades de autopropagação, ou seja, podem penetrar em outros dispositivos na rede e explorar suas vulnerabilidades.

2. Roubo de dados

A criptografia de dados não é mais suficiente para que o hacker de ransomware obtenha lucro. As vítimas de ataques de ransomware são instruídas a não efetuar pagamentos de resgate, denunciar o ataque às autoridades e aceitar suas perdas. Isso levou os hackers a incorporar o roubo de dados à criptografia de dados.

Antes de criptografar os dados da vítima, o hacker vasculha o dispositivo infectado em busca de documentos/dados valiosos e confidenciais para enviar uma cópia para si mesmo. Posteriormente, eles usam os dados roubados como chantagem adicional para conseguir o pagamento de resgate da vítima, o que, dependendo dos dados, pode ser prejudicial aos negócios e/ou clientes da vítima.

Tipos de ransomware e o que eles fazem

Como mencionado acima, as variantes de ransomware têm muitas formas. Aqui, analisamos alguns dos tipos mais comuns de ransomware e as diferentes maneiras como eles criptografam ou roubam dados:

1. Ransomwares criptográficos ou criptografadores criptografam arquivos e dados dentro de um sistema, tornando o conteúdo inacessível sem a chave de descriptografia.
2. Os bloqueadores bloqueiam completamente o acesso do usuário ao sistema, fazendo com que seus arquivos e aplicações não possam ser acessados. Uma tela de bloqueio exibe o pedido de resgate.
3. Um scareware é um software falso que afirma ter detectado um vírus ou outro problema no computador ou dispositivo móvel e instrui o usuário a fazer o pagamento de uma quantia para resolver o problema. Um scareware também pode bloquear um computador ou inundar a tela com alertas pop-up sem danificar os arquivos.
4. O Doxware/leakware ameaça distribuir informações pessoais ou empresariais confidenciais on-line, motivando assim as vítimas a pagar o resgate para evitar que dados privados caiam em mãos erradas ou entrem em domínio público. Uma variação é o ransomware com tema policial, em que o ciber criminoso se passa por um agente da lei e avisa que uma atividade ilegal on-line foi detectada e diz que os usuários podem evitar a prisão pagando uma multa.
5. Ransomware como serviço (RaaS) refere-se ao malware hospedado anonimamente por um hacker “profissional” que lida com todos os aspectos do ataque, desde a distribuição do ransomware até a cobrança do pagamento e restauração de acesso.
6. Ataques sem arquivo ou ransomware sem arquivo são ataques em que a tática inicial não resulta em um arquivo executável gravado no disco. O ransomware sem arquivo utiliza ferramentas pré-instaladas do sistema operacional, como PowerShell ou WMI, para permitir que o invasor execute tarefas sem exigir que um arquivo executável malicioso seja executado no sistema comprometido.

Como se proteger contra um ataque de ransomware

Em geral, uma vez que o ransomware já realizou a criptografia, é tarde demais para recuperar os dados. Por essa razão, a melhor defesa contra ransomware depende da prevenção proativa.

O ransomware está em constante evolução, tornando a proteção um desafio para muitas organizações. Siga estas práticas recomendadas para ajudar a manter suas operações seguras:

1. Treine todos os funcionários sobre as melhores práticas de cibersegurança
2. Mantenha seu sistema operacional e outros softwares corrigidos e atualizados:
3. Implemente e aprimore a segurança de e-mail
4. Monitore continuamente seu ambiente em busca de atividades maliciosas e IOAs
5. Integre a inteligência de ameaças à sua estratégia de segurança
6. Crie backups off-line à prova de ransomware
7. Implemente um programa de gerenciamento de identidade e acesso (IAM)

Como se prevenir contra ataques de ransomware com o CrowdStrike

O CrowdStrike Falcon® oferece proteção contra ransomware. Essa funcionalidade se torna cada vez mais valiosa à medida que a popularidade do ransomware segue aumentando. Nossa abordagem com essa funcionalidade é impedir que o ransomware infecte um sistema e criptografe seus arquivos. Acreditamos que uma abordagem preventiva é absolutamente necessária porque, normalmente, é impossível realizar a descriptografia. Além disso, ninguém quer pagar o resgate ou restaurar os backups.

A CrowdStrike utiliza seu sensor de endpoints para detectar comportamentos de ransomware e bloquear o processo ofensivo antes que ele possa atingir seu objetivo de criptografar arquivos. Isso é feito usando os padrões de indicador de ataque (IOA) da CrowdStrike no endpoint. Eles funcionam tanto on-line quanto off-line e são eficazes contra novas variantes e variantes polimórficas de ransomware que muitas vezes ignoram as assinaturas do antivírus legado.