Novo ataque cibernético amedronta a internet

Diversas pessoas e empresas estão sendo vítimas de uma nova modalidade de ataque cibernético: após vírus e malwares, é a vez de ransomware serem utilizados para roubar informações e aplicar golpes. Segundo o portal BitMag, o número de ocorrências cresceram nos últimos seis meses.

O ransomware é um tipo de malware que criptografa arquivos e restringe o acesso ao sistema infectado, e os criminosos cobram um valor de “resgate” para que o acesso possa ser restabelecido.

Os dados são preocupantes. De acordo com o McAfee Labs, as amostras de ransomware cresceram 169% em 2015 e o total de amostras do malware já somam quase 6 milhões. A técnica não é recente, ela já existe há muito tempo, os primeiros protótipos do malware foram desenvolvidos em meados da década de 1990.

Como funciona

O ransomware usa a criptografia para extorquir as vítimas e os ataques podem causar a perda de acesso à informação, perda de confidencialidade e vazamento de informações. Os ataques podem ser direcionados tanto a consumidores quanto a empresas de todos os portes. Em geral, os ataques ocorrem em seis etapas:

1 - Distribuição

Geralmente os arquivos maliciosos são distribuídos em links links fraudulentos, anexos de e-mail ou downloads de arquivos que são instalados no endpoint a partir de sites comprometidos. Mesmo conhecida, a técnica ainda funciona bastante, já que, de acordo com o portal Computer World, um em cada quatro destinatários abre mensagens de phishing e, surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.

2 - Infecção

Após chegar ao computador do usuário, o arquivo inicia os processos necessários para completar suas atividades maliciosas, como instalar um programa seja executado ao ligar a máquina; desativa cópias e sistemas de reparação e recuperação de erro do Windows, desativa programas de defesa; injeta-se no explorer.exe e svchost.exe e recupera o endereço IP externo.

3 - Comunicação

O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados. Ou seja, passa a ter o domínio das informações.

4 - Pesquisa de arquivos

O ransomware procura por arquivos no sistema de uma forma sistemática. Ele normalmente busca por arquivos que sejam importantes para o usuário e não podem ser facilmente replicados, como arquivos com extensões de jpg, docx, xlsx, pptx, e pdf.

5 - Criptografia

O processo é realizado movendo e renomeando arquivos específicos, as informações são “embaralhadas” e não podem mais serem acessadas sem serem descriptografadas.

6 - Pedido de Resgate

Em geral, um aviso aparece na tela do computador infectado exigindo pagamento em bitcoins (moedas virtuais) para então enviar à vítima a chave que poderá desbloquear a máquina.

Previna-se

Conhecer como funciona um ataque de ransomware detalhadamente é essencial para criar estratégias capazes de barrar sua atuação antes que ele consiga criptografar a máquina. Usar uma solução de segurança que contemple filtro de web, antispam, antimalware e manter atualizado o sistema operacional e aplicativos ajuda a bloquear a chegada do ransoware.

Especialistas indicam que evite-se ativar macros, a não ser que você saiba muito bem o que está fazendo. Macros do Office costumam ser usados pelo ransomware no processo de infecção. Também é importante restringir as permissões de acesso dos usuários. Navegar na web, abrir diversos aplicativos e documentos e trabalhar com diversos programas diferentes enquanto conectado com perfil administrativo, por exemplo, aumenta a vulnerabilidade. Também é recomendado usar uma ferramenta de sandbox, que irá analisar melhor os arquivos suspeitos e evitar a contaminação.

Por fim, mantenha um backup offsite. Após fazê-lo, desligue a unidade e a mantenha longe de todos os computadores. Dessa forma o ransomware não consegue detectar o backup e danificá-lo.

(Com informações do portal BitMag e Computer World)