O que é ransomware?
Saiba mais sobre o ransomware, como ele funciona e como você pode proteger a si mesmo e seus negócios deste tipo de ataque cibernético.
Definição de ransomware
Ransomware é um tipo de software mal-intencionado, ou malware, que ameaça uma vítima destruindo e bloqueando o acesso a dados críticos ou sistemas até que um resgate seja pago. Historicamente, grande parte dos ransomware visava indivíduos, mas mais recentemente, o ransomware operado por humanos, que tem como alvo as organizações, tornou-se a ameaça maior e mais difícil de prevenir e reverter. Com ransomware operado por humanos, um grupo de invasores usam sua inteligência coletiva para obter acesso a uma rede empresarial da organização. Alguns ataques deste tipo são tão sofisticados que os invasores usam documentos financeiros internos que descobriram para definir o preço do resgate.
Ataques de ransomware nas notícias
Infelizmente, as menções sobre ameaças de ransomware nas notícias agora são uma ocorrência comum. Ataques recentes de ransomware de alto perfil afetaram provedores de serviços de TI, serviços de saúde e infraestrutura crítica. À medida que esses ataques se tornaram mais ousados em escopo, seus efeitos se tornaram mais imprevisíveis. Vejamos alguns ataques de ransomware e como eles afetaram as organizações:
- Em março de 2022, o sistema postal da Grécia foi vítima de ransomware. O ataque interrompeu temporariamente a entrega de correspondência e afetou o processamento de transações financeiras.
- Uma das maiores companhias aéreas da Índia sofreu um ataque de ransomware em maio de 2022. O incidente levou a atrasos e cancelamentos de voos, bem como a centenas de passageiros retidos.
- Uma grande companhia de recursos humanos foi atingida por um ataque de ransomware em dezembro de 2021, momento em que seu sistema de folha de pagamento e folga para os clientes que usam o serviço de nuvem foi afetado.
- Em maio de 2021, o gasoduto de combustível dos EUA interrompeu seus serviços para evitar novas violações depois que um ataque de ransomware comprometeu milhares de informações pessoais de seus funcionários. Os efeitos dispararam os preços do gás em toda a costa leste.
- Uma empresa alemã de distribuição de produtos químicos sofreu um ataque de ransomware em abril de 2021. As datas de nascimento, números de previdência social e números de carteira de motorista de mais de 6 mil indivíduos, bem como alguns dados médicos foram roubados.
- O maior fornecedor de carne do mundo foi alvo de um ataque de ransomware em maio de 2021. Depois de tirar temporariamente seu site do ar e interromper as produções, a empresa acabou pagando um resgate de USD$ 11 milhões em Bitcoin.
Como o ransomware funciona?
Os ataques de ransomware dependem de assumir o controle dos dados ou dispositivos de um indivíduo ou da organização como meio de exigir dinheiro. Nos anos anteriores, os ataques de engenharia social eram os mais prevalentes, mas recentemente, o ransomware operado por humanos tornou-se popular entre os criminosos devido ao potencial de um grande pagamento.
Ransomware de engenharia social
Esses ataques usam phishing, uma forma de engano na qual um invasor se apresenta como uma empresa ou site legítimos – para induzir a vítima a clicar em um link ou abrir um anexo de email que instalará o ransomware em seu dispositivo. Os ataques geralmente apresentam mensagens alarmistas que levam a vítima a agir por medo. Por exemplo, um criminoso cibernético pode se passar por um banco conhecido e enviar um email alertando alguém de que sua conta foi congelada devido a atividades suspeitas, pedindo que clique em um link no email para resolver o problema. Quando a pessoa clica no link, o ransomware é instalado.
Ransomware operado por humanos
O ransomware operado por humanos geralmente começa por meio de credenciais de conta roubadas. Depois que os invasores obtêm acesso à rede de uma organização dessa maneira, eles usam a conta roubada para determinar as credenciais de contas com escopos de acesso mais amplos e procuram dados e sistemas críticos para os negócios com potencial de alto retorno financeiro. Eles instalam ransomware nesses dados confidenciais ou em sistemas críticos para os negócios, por exemplo, criptografando arquivos confidenciais para que a organização não possa acessá-los até pagar um resgate. Os criminosos cibernéticos tendem a pedir pagamento em criptomoeda por causa de seu anonimato.
Esses invasores têm como alvo grandes organizações que podem pagar um resgate mais alto do que o indivíduo comum, às vezes exigindo milhões de dólares. Devido aos altos riscos envolvidos em uma violação dessa escala, muitas organizações optam por pagar o resgate, em vez de ter seus dados confidenciais vazados ou arriscar novos ataques dos criminosos cibernéticos, mesmo que o pagamento não garanta a prevenção de nenhum dos resultados.
Conforme os ataques de ransomware operados por humanos cresceram, os criminosos por trás dos ataques tornaram-se mais organizados. Na verdade, muitas operações de ransomware agora usam um modelo de Ransomware como Serviço, o que significa que um conjunto de desenvolvedores criminosos cria o próprio ransomware e contrata outros criminosos cibernéticos para hackear a rede de uma organização e instalar o ransomware, dividindo os lucros entre os dois grupos em uma taxa acordada.
Diferentes tipos de ataques de ransomware
Ransomware vem em duas formas principais: ransomware crypto e ransomware locker.
Ransomware crypto
Quando um indivíduo ou organização é vítima de um ataque de ransomware crypto, o invasor criptografa os dados ou arquivos confidenciais da vítima para que ela não possa ter acesso a menos que pague um resgate. Em teoria, quando a vítima paga, ela recebe uma chave de criptografia para ter acesso aos arquivos ou dados. No entanto, mesmo que a vítima pague o resgate, não há garantia de que o criminoso cibernético enviará a chave de criptografia ou abrirá mão do controle. Doxware é uma forma de ransomware crypto que criptografa e ameaça revelar publicamente as informações pessoais de uma vítima, geralmente com o objetivo de humilhar ou envergonhá-la para pagar o resgate.
Ransomware locker
Em um ataque de ransomware locker, a vítima é bloqueada em seu dispositivo e incapaz de fazer login. A vítima receberá uma nota de resgate na tela explicando que foi bloqueada e incluindo instruções sobre como pagar para recuperar o acesso. Essa forma de ransomware normalmente não envolve criptografia. Portanto, quando a vítima recupera o acesso ao dispositivo, todos os arquivos e dados confidenciais são preservados.
Responder a um ataque de ransomware
Se você for vítima de um ataque de ransomware, terá opções de recurso e remoção.
Tenha cuidado com o pagamento de resgates
Embora possa ser tentador pagar o resgate na esperança de remover o problema, não há garantia de que os criminosos cibernéticos manterão sua palavra e concederão acesso aos dados. Especialistas em segurança e agências de aplicação da lei recomendam que as vítimas de ataques de ransomware não paguem os resgates solicitados, porque isso pode deixar as vítimas abertas a ameaças futuras e apoiar ativamente uma indústria criminosa. Se você já pagou, entre em contato imediatamente com seu banco – ele pode interromper o pagamento se você pagou com cartão de crédito.
Isolar os dados infectados
Assim que puder, isole os dados comprometidos para ajudar a evitar que o ransomware se espalhe para outras áreas da sua rede.
Executar um programa antimalware
Muitos ataques de ransomware podem ser tratados com a instalação de um programa antimalware para remover o ransomware. Depois de escolher uma solução antimalware respeitável, como o Microsoft Defender, certifique-se de mantê-la atualizada e sempre em execução para ter proteção contra os ataques mais recentes.
Relatar o ataque
Entre em contato com as agências de aplicação da lei locais ou federais para denunciar o ataque. Nos Estados Unidos, esses contatos são as agências locais do FBI, o IC3, ou o Serviço Secreto. Embora essa etapa provavelmente não resolva nenhuma de suas preocupações imediatas, é importante porque essas autoridades rastreiam e monitoram ativamente diferentes ataques. Fornecer detalhes sobre sua experiência pode ser uma informação útil para encontrar e processar um criminoso cibernético ou um grupo de criminosos cibernéticos.
Proteção contra ransomware
Com ataques de ransomware mais altos do que nunca e tantas informações pessoais das pessoas contidas digitalmente, as possíveis consequências de um ataque são assustadoras. Felizmente, há muitas maneiras de manter sua vida digital exatamente dessa forma – sua vida digital, não a de outra pessoa. Confira como obter paz de espírito com proatividade com a proteção contra ransomware.
Instalar um programa antimalware
A melhor forma de se proteger é se prevenindo. Muitos ataques de ransomware podem ser detectados e bloqueados com um serviço antimalware confiável, como Microsoft Defender para Ponto de Extremidade, Microsoft Defende XDR ou Microsoft Defender para Nuvem. Quando você usa um programa antimalware, seu dispositivo primeiro verifica todos os arquivos ou links que tenta abrir para ajudar a garantir que eles sejam seguros. Se um arquivo ou site for malicioso, o programa antimalware o alertará e sugerirá que você não o abra. Esses programas também podem remover ransomware de um dispositivo já infectado.
Realize treinamentos regulares
Mantenha os funcionários informados sobre como identificar os sinais de phishing e outros ataques de ransomware com treinamentos regulares. Isso não apenas ensinará práticas mais seguras para o trabalho, como também será mais seguro ao usar seus dispositivos pessoais.
Mudar para a nuvem
Quando você move seus dados para um serviço baseado em nuvem, como Serviço de Backup na Nuvem do Azure ou Backup de Armazenamento de Blobs em Bloco do Azure, mantém facilmente os dados armazenados seguros. Se seus dados forem comprometidos por ransomware, esses serviços ajudarão a garantir que a recuperação seja imediata e abrangente.
Adote um modelo de Confiança Zero
Um modelo de Confiança Zero avalia todos os dispositivos e usuários quanto ao risco antes de permitir que eles acessem aplicativos, arquivos, bancos de dados e outros dispositivos, diminuindo a probabilidade de que uma identidade ou dispositivo malicioso possa acessar recursos e instalar malware. Como exemplo, a implementação da autenticação multifator, um componente de um modelo de Confiança Zero, demonstrou reduzir a eficácia dos ataques de identidade em mais de 99 por cento. Para avaliar o estágio de maturidade da Confiança Zero da organização, realize nossa Avaliação de maturidade da Confiança Zero.
Participe de um grupo de compartilhamento de informações
Grupos de compartilhamento de informações, frequentemente organizados por setor ou localização geográfica, incentivam organizações estruturadas de maneira semelhante a trabalharem juntas em direção a soluções de segurança cibernética. Os grupos também oferecem diferentes benefícios às organizações, como serviços de resposta a incidentes e forense digital, notícias sobre as ameaças mais recentes e monitoramento de intervalos e domínios de IP públicos.
Mantenha backups offline
Como alguns ransomware tentarão procurar e excluir quaisquer backups online que você possa ter, é uma boa ideia manter um backup offline atualizado de dados confidenciais que você testa regularmente para garantir que seja restaurável caso seja atingido por um ataque de ransomware. Infelizmente, manter um backup offline não resolverá o problema se você for atingido por um ataque de ransomware crypto, mas poderá ser uma ferramenta eficaz para usar em um ataque de ransomware locker.
Mantenha o software atualizado
Além de manter todas as soluções antimalware atualizadas (considere a escolha de atualizações automáticas), baixe e instale quaisquer outras atualizações do sistema e patches de software assim que estiverem disponíveis. Isso ajuda a minimizar qualquer vulnerabilidade de segurança que um criminoso cibernético possa explorar para obter acesso à sua rede ou aos seus dispositivos.
Crie um plano de resposta a incidentes
Assim como ter um plano de emergência para como sair de casa em caso de incêndio mantém você mais seguro e preparado, criar um plano de resposta a incidentes sobre o que fazer se for atingido por um ataque de ransomware fornecerá etapas acionáveis para enfrentar diferentes cenários de ataque para que possa voltar a operar normalmente e com segurança o mais rápido possível.
Ajude a proteger tudo com a Segurança da Microsoft
Microsoft Sentinel
Tenha uma visão completa de toda a sua empresa com uma solução de SIEM (gerenciamento de eventos e incidentes de segurança) nativa da nuvem.
Microsoft Defender XDR
Proteja seus pontos de extremidade, identidades, email e aplicativos com XDR (detecção e resposta estendidas).
Microsoft Defender para Nuvem
Defenda seus ambientes multinuvem e híbridos desde o desenvolvimento até o tempo de execução.
Informações sobre Ameaças do Microsoft Defender
Conheça os atores de ameaças e suas ferramentas com um mapa completo e continuamente atualizado da Internet.
Combater as ameaças de ransomware
Fique à frente das ameaças usando interrupção automática de ataque e resposta com a Segurança da Microsoft.
Relatório de Defesa Digital da Microsoft
Familiarize-se com o cenário atual de ameaças e com a construção de uma defesa digital.
Criar um programa anti-ransomware
Explore como a Microsoft criou o Estado de Resiliência de Ransomware Ideal para eliminar ransomware.
Usar um guia estratégico para bloquear ransomware
Articule e visualize qual é o papel de todos no processo de bloqueio do ransomware.
Perguntas frequentes
-
Infelizmente, praticamente qualquer pessoa com uma presença online pode se tornar vítima de um ataque de ransomware. Dispositivos pessoais e redes empresariais são alvos frequentes de criminosos cibernéticos.
No entanto, investir em soluções proativas, como serviços de proteção contra ameaças, é uma forma viável de impedir que o ransomware infecte sua rede ou dispositivos. Portanto, indivíduos e organizações com programas antimalware e outros protocolos de segurança em vigor, como um modelo de Confiança Zero, antes que ocorra um ataque, são os menos propensos a se tornarem vítimas de um ataque de ransomware.
-
Os ataques tradicionais de ransomware ocorrem quando um indivíduo é induzido a se envolver com conteúdo mal-intencionado, como abrir um email infectado ou acessar um site prejudicial, que instala o ransomware em seu dispositivo.
Em um ataque de ransomware operado por humanos, um grupo de invasores visa e viola os dados confidenciais de uma organização, geralmente por meio de credenciais roubadas.
Normalmente, para ransomware de engenharia social e ransomware operado por humanos, uma vítima ou organização receberá uma nota de resgate que detalha os dados que foram roubados e o custo para devolvê-los. No entanto, pagar o resgate não garante que os dados sejam realmente devolvidos ou que futuras violações sejam evitadas.
-
Os efeitos de um ataque de ransomware podem ser devastadores. Tanto no nível individual quanto no organizacional, as vítimas podem se sentir forçadas a pagar altos resgates sem garantia de que seus dados serão devolvidos a elas ou de que não ocorrerão novos ataques. Se um criminoso cibernético vazar informações confidenciais de uma organização, sua reputação poderá ser manchada e vista como não confiável. Dependendo do tipo de informação vazada e do tamanho da organização, milhares de indivíduos podem correr o risco de se tornarem vítimas de roubo de identidade ou outros crimes cibernéticos.
-
Criminosos cibernéticos que infectam os dispositivos das vítimas com ransomware querem dinheiro. Eles tendem a definir resgates em criptomoeda devido a sua natureza anônima e não rastreável. Em um ataque de ransomware de engenharia social direcionado a um indivíduo, o resgate pode ser de centenas ou milhares de dólares. Em um ataque de ransomware operado por humanos visando uma organização, o resgate pode ser de milhões de dólares. Esses ataques mais sofisticados contra organizações podem usar informações financeiras confidenciais que os criminosos cibernéticos encontraram ao violar a rede como base para definir um resgate que eles acreditam que a organização pode pagar.
-
As vítimas devem denunciar ataques de ransomware para as agências de aplicação da lei local e federal. Nos Estados Unidos, esses contatos são as agências locais do FBI, o IC3, ou o Serviço Secreto. Especialistas em segurança e autoridades de aplicação da lei recomendam que as vítimas não paguem resgates – se você já pagou, entre em contato imediatamente com seu banco e as autoridades locais. Seu banco pode bloquear o pagamento se você tiver pagado com um cartão de crédito.
Siga a Microsoft