Ataques Ransomware mais maliciosos dos últimos 10 anos

Ataques ransomware em empresas estão cada vez mais frequentes e não existe nada de comum nesse tipo de ação criminosa na internet. Esse tipo de ataque causa milhões de dólares em prejuízos e alimenta quadrilhas de estelionatários e hackers mundo afora.

O Departamento de TI ou os profissionais internos ou terceirizados envolvidos em servidores e redes internas são os mais associados a este tipo de problema, porém, as empresas precisam entender que todos os departamentos e todos os profissionais devem estar cientes do problema e contribuírem para evitar que aconteça com a empresa. Esse assunto deve ser tão recorrente quando qualquer outro relacionado ao espectro de segurança da empresa.

O primeiro tipo de ataque dificultou o acesso dos usuários aos arquivos e impediu que eles acessassem seções da interface do usuário móvel. No final de 2015, o SimpleLocker, também conhecido como Andr / Slocker-A, tornou-se a primeira ameaça mundial de ransomware no Android. O SimpleLocker se espalha como um Trojan Downloader disfarçado de aplicativo. Uma vez instalado, ele examinou o dispositivo e, por meio de uma criptografia AES, alterou a extensão do arquivo para .ENC. Ele também coletou informações do dispositivo, como o número IMEI, o modelo do smartphone, o fabricante e as enviou para um servidor C2. As versões mais recentes conseguiram acessar a câmera e mostraram uma foto da vítima. Isso foi usado para assustar e convencer a pessoa a pagar o resgate. O SimpleLocker foi criado em algum lugar da Europa Oriental, mas a maioria de suas vítimas estava localizada nos Estados Unidos. Nesta página, você pode encontrar informações detalhadas sobre como remover o SimpleLocker em diferentes modelos de telefone, embora hoje o SimpleLocker não seja mais uma ameaça.

Ataques Ransonware, os mais perigosos da última década

Antes de apresentar os ataques ransomware mais perigosos dos últimos anos, é importante ressaltar que apesar de entre os anos 2018 e 2019 registrar declínio no número de ataques os cibercriminosos estão longe de desistir, porém estão mudando as táticas de ataque.

Os ataques ransomware estão se tornando cada vez mais personalizados com objetivos e metas específicos. Estão seno usados sofisticados controles e ferramentas de gerenciamento em tempo real, como acontece no

SamSam e Ryuk. Esses “novos” ataques direcionados atingem um número muito pequeno de organizações, mas têm uma taxa de sucesso muito maior. Portanto, um número inferior de ataques não significa em uma queda na receita dos hackers, e também não significa que as empresas devem baixar a guarda em relação a essa ameaça. As organizações devem continuar vigilantes e adotar medidas de segurança que possam proteger as infra-estruturas de TI contra essas ameaças cibernéticas altamente sofisticadas.

CryptoLocker

O CryptoLocker entrou em cena em 2013 e foi provavelmente o primeiro a abrir a era dos ataques ransomware em larga escala. Espalhados por anexos de e-mail e mensagens de spam usando a botnet Gameover ZeuS, ele usava uma chave pública RSA de 2048 bits para criptografar arquivos do usuário em troca de dinheiro. De acordo com a Avast, no auge entre o final de 2013 e o início de 2014, o CryptoLocker havia infectado mais de 500.000 computadores, juntamente com os clones CryptoWall, Cryt0L0cker e TorrentLocker. O software malicioso era bastante “elementar” e foi derrotado graças à “Operação Tovar”, uma campanha conjunta entre FBI, Interpol, empresas de segurança e universidades. O CryptoLocker abriu o caminho para muitas outras variedades de ataques ransomware que usavam seu código para criar novas ameaças.

TeslaCrypt

Embora no início tenha sido apresentado como uma variante do CryptoLocker, este ransomware ganhou identidade própria graças ao modus operandi específico. O TeslaCrypt segmentou em particular arquivos auxiliares associados a jogos de vídeo, como jogos salvos, mapas, conteúdo para download e similares. Para os jogadores, esses geralmente são arquivos importantes, salvos localmente e não na nuvem ou em unidades externas. Em 2016, 48% dos ataques de ransomware em todo o mundo foram realizados pelo TeslaCrypt. Foi pedido às vítimas um resgate de US$ 500 em bitcoins. A constante evolução é um recurso que permitiu que esse ransomware se espalhasse e atingisse tantas vítimas.
No início de 2016, era possível restaurar os arquivos apenas com a intervenção dos criadores. A surpresa ocorreu em maio de 2016, quando os hackers por trás do TeslaCrypt decidiram encerrar suas atividades maliciosas e ofereceram ao mundo a principal chave de decodificação. Após alguns dias, a ESET lançou uma ferramenta gratuita para descriptografar computadores infectados.

SimpleLocker

É de amplo conhecimento que os dispositivos móveis são essenciais na vida das pessoas e se tornaram os dispositivos eletrônicos mais usados. Esta nova tendência não poderia ser deixada inexplorada por hackers! Entre o final de 2015 e 2016, foi registrada uma escalada de ataques de ransomware em dispositivos com um sistema operacional Android quase quadruplicando. Os ataques de ransomware em dispositivos Android sofreram um aumento de até 4 vezes segundo a Kaspersky Lab.

Cerber

Cerber é o exemplo de tecnologia que usa criptografia RSA avançada para fins maliciosos. O Cerber é distribuído como um ransomware de serviço (RaaS), uma espécie de “programa afiliado” para criminosos cibernéticos. Qualquer um pode comprá-lo e lançá-lo na Web, obtendo 40% dos lucros. Um verdadeiro negócio do mal. O ransomware tem como alvo os usuários do pacote de nuvem do Office 365. Ele usa uma elaborada campanha de phishing que até o momento afetou milhões de usuários em todo o mundo, com exceção dos países da Europa Oriental.
É assim que o ataque funciona: geralmente, a vítima recebe um e-mail com um documento infectado do Microsoft Office. Depois de aberto, o ransomware é executado silenciosamente em segundo plano, sem levantar suspeitas, criptografando os arquivos. Quando essa fase estiver concluída, o usuário encontrará uma nota de resgate nas pastas infectadas ou também como papel de parede da área de trabalho. No auge, no início de 2017, o Cerber foi responsável por 26% de todos os ataques de ransomware. Hoje, vários decodificadores estão disponíveis e podem auxiliar o usuário para descriptografar os arquivos.

SamSam

Esse ataque de ransomware conhecido como SamSam apareceu no final de 2015, mas se fortaleceu apenas alguns anos depois, derrubando alvos de alto nível, principalmente nos Estados Unidos. O SamSam tem um modelo organizacional sólido por trás, ao invés de uma estrutura técnica. Em 2015 e 2016, este ransomware teve foco na exploração das vulnerabilidades do JBoss. Então, em 2018, o SamSam forçou senhas fracas para vulnerabilidades no RDP, servidores baseados em Java e servidores FTP, a fim de obter acesso à rede da vítima. Parece que os ataques do SamSam são controlados manualmente, o que significa que há alguém atrás do teclado que tem como alvo uma rede específica e torna os arquivos inacessíveis com uma criptografia RSA-2048. Essa é uma nova tendência: ataques de ransomware bem estudados e direcionados e a extorsão varia de acordo com o nível e o volume dos dados da vítima, bem como com sua disposição de pagar.

Analisando a carteira de Bitcoin do grupo SamSam, foi descoberto que, por exemplo, o hospital Hancock Health em 13 de janeiro de 2018 às 02:31 nos EUA pagou um resgate de 4 bitcoins no valor de € 51.000. Dentro de duas horas, os sistemas da unidade de saúde foram restaurados.

Ataque Ransomware SamSam

WannaCry

O WannaCry é um dos ransomware mais perigosos, além de ser responsável por um dos maiores ataques cibernéticos de todos os tempos, que fez literalmente milhares de pessoas quererem chorar! Pela primeira vez, o termo ransomware entrou no debate público e na imprensa mundial. Em maio de 2017, 200.000 usuários, incluindo grandes empresas, organizações e instituições públicas, foram infectados em cerca de 150 países. Esta é a primeira onda de ataques de hackers com ferramentas vazadas da Agência de Segurança Nacional (NSA). O WannaCry usa a exploração EternalBlue e um bug da Microsoft na implementação do protocolo Server Message Block (SMB). Embora a Microsoft tenha lançado uma atualização de segurança, muitos computadores ainda não foram atualizados. O WannaCry explorou precisamente essa lacuna de segurança, espalhando-se agressivamente em todos os dispositivos em rede.

A tela com a solicitação de resgate exibida nos computadores bloqueados pelo WannaCry.

Uma de suas características perigosas é que nenhuma ação é necessária para se infectar. O WannaCry se instala automaticamente no seu computador, criptografando arquivos com a extensão .WCRY. O valor do resgate é US$ 300 em bitcoins a serem pagos dentro de três dias, após esse prazo, dobrará para US $ 600. Se o pagamento não ocorrer dentro de uma semana, todos os arquivos serão perdidos. Dois anos após o lançamento mundial do WannaCry, estima-se que dois milhões de computadores ainda estejam expostos ao ataque.

Petya und NotPetya

Após o WannaCry, a era do ransomware foi oficialmente confirmada pelo NotPetya. Tudo começou em 2016, quando o Petya apareceu pela primeira vez como um pacote de ransomware. Apenas algumas semanas após a epidemia do WannaCry no segundo semestre de 2017, o Petya começou a se espalhar em uma versão atualizada, explorando o EternalBlue na trilha do conhecido ransomware WannaCry. Devido a evolução ao longo do tempo, as versões mais recentes e perigosas foram nomeadas como NotPetya. De acordo com dados da ESET, em 28 de junho de 2017, 80% dos casos de ransomware foram registrados na Ucrânia. A Alemanha ficou em segundo lugar, com 9%. O NotPetya se espalhou principalmente por e-mail com um arquivo anexado com as extensões .doc, .xls, .ppt ou .pdf. O arquivo pode ser visualizado facilmente, mas sem o conhecimento do usuário, um conta-gotas é iniciado e instala o malware real da Internet. Depois que os arquivos são criptografados, o PC é inutilizado e um resgate de US $ 300 em bitcoin é solicitado. A diferença fundamental entre o Petya / NotPetya e outros tipos de ransomware como o WannaCry está no arquivo de destino: em vez de criptografar cada arquivo, esse ransomware aponta diretamente para o carregador de inicialização do PC.

Bad Rabbit

Bad Rabbit não apresenta novidades na sutileza de técnicas de ataque: segue os passos do WannaCry e NotPetya. Atingiu organizações principalmente na Rússia e na Europa Oriental, disfarçadas de instalação do Adobe Flash. Se espalha por downloads drive-by em sites comprometidos, onde foi inserido no código HTML ou arquivos Java usando JavaScript. Uma vez baixado e instalado, o PC está bloqueado. O resgate é de US$ 280 em bitcoin com prazo de 40 horas.

Ryuk Ryuk

É responsável por muitos danos entre 2018 e 2019, visando especificamente organizações que podem pagar e para as quais não é possível ter tempo de inatividade. Entre as vítimas estão jornais norte americanos e o serviço de água da Carolina do Norte lidando na época com as consequências do furacão Florence. O ransomware usa algoritmos militares robustos, como RSA4096 e AES-256. Um recurso particularmente sutil do Ryuk é que ele pode desativar a opção “Restauração do sistema” do Windows em computadores infectados. Isso dificulta a recuperação de dados criptografados sem pagar aos criminosos. Os pedidos de resgate também são particularmente onerosos de acordo com a importância das vítimas.

Analistas acreditam que o código fonte de Ryuk é amplamente derivado do Hermes, um produto do grupo Lazarus da Coréia do Norte. Isso não significa que o ransomware seja gerenciado pelo estado coreano. A McAfee acredita que o Ryuk foi desenvolvido com base em um código de um fabricante de língua russa, em parte porque o ransomware não roda em computadores nos quais o idioma está definido para russo, bielorrusso e ucraniano. Se você é vítima do Ryuk ou deseja saber mais sobre os aspectos técnicos, aqui pode encontrar informações detalhadas para excluir esse malware em diferentes sistemas operacionais Windows.

GandCrab

É considerado o ransomware multimilionário mais popular em 2018 e 2019. Para evitar a detecção, os cibercriminosos por trás do GandCrab dependiam muito das macros do Microsoft Office, VBScript e PowerShell. O GandCrab usa um modelo de ransomware como serviço (RaaS) para maximizar a distribuição, concentrando-se principalmente nas técnicas de phishing por e-mail. As solicitações de resgate variam de US$ 500 a US$ 600. De acordo com diferentes fontes na Internet, em janeiro de 2018, o GandCrab havia infectado mais de 48.000 maquinas em um único mês. Apesar de todos os esforços e sucesso na recuperação de dados, a ameaça ainda não foi superada devido as constantes alterações realizadas pelos cibercriminosos. Em março de 2019, variantes distintas do ransomware estavam em circulação. A Europol, em colaboração com a polícia romena, as agências policiais e a Bitdefender, invadiu os servidores GandCrab para obter as chaves. Eles foram capazes de criar um produto gratuito que permite a descriptografia das versões 1.4 até 5.1 do software malicioso. Menos ataques, maior taxa de sucesso

Como proteger maquinas e servidores dos ataques ransomware

A maneira mais eficiente de proteger as empresas de ataques ransomware é desenvolvendo um planejamento de segurança e recuperação dos dados em cado de ataque. O serviço de backup de arquivos é uma das soluções encontradas para que a empresa não tenha que atender aos pedidos de resgate.

Sbackup

O software de backup é instalado nos servidores e estações de trabalho e faz, periodicamente, a cópia dos dados para um ambiente seguro e de fácil acesso, os Cloud Centers que funcionam como um backup virtual. Para garantir que nada fique sem a sua cópia de segurança, o aplicativo realiza os bakups automaticamente via agendamento, dispensando intervenção humana e eventuais esquecimentos ou falhas no processo.

Caso seja necessário restaurar algum arquivo, isso pode ser feito facilmente, sem a necessidade de procurar por versões antigas, ou buscar em CDs: no SBackup tudo é salvo automaticamente e, com uma interface amigável e fácil de trabalhar você consegue localizar tudo facilmente com todas as operações de backup / restauração e administração das tarefas, em apenas alguns cliques.

O painel de controle web do SBackup software de backup, permite que os usuários configurem rotinas de backup, gerenciem arquivos copiados, visualizem relatórios e estatísticas de backups e realizem a restauração de arquivos. Além disso, ele envia relatórios por e-mail, informando os usuários que o backup foi realizado, ou de qualquer e que possa ter ocorrido, mantendo o usuário informado e ciente da situação do backup.

A UnderTI pode ajudar você a projetar e implementar a melhor política de Backup e segurança de redes para empresas de todos os segmentos utilizando o sistema SBackup. Para mais detalhes, entre em contato.