O que é o ransomware?
Saiba mais sobre o ransomware, como funciona e como se pode proteger e à sua empresa contra este tipo de ciberataque.
Definição de ransomware
O ransomware é um tipo de software malicioso, ou malware, que ameaça uma vítima ao destruir ou bloquear o acesso a dados ou sistemas críticos até que um resgate seja pago. A maioria do ransomware costumava ser direcionada a utilizadores individuais. Contudo, recentemente, o ransomware operado por humanos, cujo alvo são organizações, tornou-se a maior ameaça e a mais difícil de impedir e remediar. Com o ransomware operado por humanos, um grupo de atacantes utiliza a sua inteligência coletiva para aceder à rede empresarial de uma organização. Alguns destes ataques são tão sofisticados que os atacantes utilizam documentos financeiros internos expostos para definir o preço do resgate.
Ataques de ransomware nas notícias
Infelizmente, as menções a ameaças de ransomware nas notícias são agora uma ocorrência comum. Ataques recentes de ransomware de grande repercussão têm afetado infraestruturas essenciais, a indústria da saúde e fornecedores de serviços de TI. Os efeitos destes ataques têm-se tornado mais imprevisíveis à medida que expandem o alcance. Vejamos alguns ataques de ransomware e como afetaram as organizações:
- Em março de 2022, o sistema de correios da Grécia sofreu um ataque de ransomware. O ataque interrompeu temporariamente a entrega de correio e afetou o processamento de transações.
- Uma das maiores companhias aéreas da Índia sofreu um ataque de ransomware em maio de 2022. O incidente provocou atrasos e cancelamentos de voos e centenas de passageiros ficaram retidos no aeroporto.
- Uma grande empresa de recursos humanos foi vítima de um ataque de ransomware em dezembro de 2021, e a respetiva folha de pagamentos e o sistema de folgas dos clientes que utilizam o respetivo serviço da nuvem foram afetados.
- Em maio de 2021, um oleoduto americano interrompeu os serviços para impedir mais falhas de segurança depois de um ataque de ransomware ter comprometido milhares de informações pessoais dos respetivos colaboradores. Este evento fez disparar os preços dos combustíveis em toda a costa leste.
- Uma empresa de distribuição de produtos químicos alemã sofreu um ataque de ransomware em abril de 2021. Foram roubadas datas de nascimento, números da Segurança Social, números da carta de condução e dados médicos de mais de 6000 pessoas.
- O maior fornecedor de carne a nível mundial foi alvo de um ataque de ransomware em maio de 2021. Depois de suspender temporariamente o respetivo site e interromper a produção, a empresa acabou por pagar um resgate de 11 milhões USD em Bitcoin.
Como é que o ransomware funciona?
Os ataques de ransomware dependem de tomar o controlo do(s) dispositivo(s) ou dos dados de um utilizador individual ou de uma organização como forma de exigir dinheiro. Em anos anteriores, os ataques de engenharia social eram os mais frequentes. Contudo, recentemente, o ransomware operado por humanos tornou-se popular entre os criminosos devido ao potencial de receber uma quantia enorme.
Ransomware de engenharia social
Estes ataques utilizam o phishing: uma forma de fraude na qual um atacante se faz passar por um site ou empresa legítima para enganar a vítima e fazê-la clicar numa ligação ou abrir um anexo de e-mail que irá instalar o ransomware no respetivo dispositivo. Normalmente, os ataques apresentam mensagens alarmistas que levam a vítima a agir por medo. Por exemplo, um cibercriminoso pode fazer-se passar por um banco bastante conhecido e enviar um e-mail a alertar uma pessoa de que a sua conta foi bloqueada devido a atividade suspeita e instigá-la a clicar numa ligação no e-mail para resolver o problema. Assim que alguém clica na ligação, o ransomware é instalado.
Ransomware operado por humanos
Normalmente, o ransomware operado por humanos tem origem em credenciais de conta roubadas. Assim que os atacantes tiverem obtido acesso à rede de uma organização desta forma, utilizam a conta roubada para determinar as credenciais de contas com um maior âmbito de acesso e procuram dados e sistemas críticos para a empresa com o potencial de um alto suborno financeiro. Em seguida, instalam ransomware nestes dados confidenciais ou sistemas críticos para a empresa, por exemplo, ao encriptar ficheiros confidenciais para impedir o acesso da organização até que esta pague o resgate. Os cibercriminosos tendem a pedir pagamentos em criptomoedas para manter o anonimato.
Estes atacantes escolhem como alvo organizações que podem pagar um resgate mais elevado do que as pessoas comuns e chegam a pedir, por vezes, milhões de dólares. Visto que há muito em jogo quando se trata de uma falha de segurança desta escala, muitas organizações decidem pagar o resgate em vez de arriscar a fuga dos respetivos dados confidenciais ou a ocorrência de mais ataques por parte dos cibercriminosos, mesmo que o pagamento não garanta a prevenção dos mesmos.
À medida que os ataques de ransomware operados por humanos aumentam, os criminosos responsáveis por estes ataques têm-se tornado mais organizados. Na realidade, muitas operações de ransomware utilizam atualmente um Ransomware como Modelo de serviço, o que significa que um conjunto de programadores criminosos cria o próprio ransomware e, em seguida, contrata outros afiliados cibercriminosos para aceder de modo ilícito à rede de uma organização e instalar o ransomware, dividindo os lucros entre os dois grupos de acordo com uma taxa acordada.
Diferentes tipos de ataques de ransomware
O ransomware tem duas formas principais: ransomware de criptomoedas e ransomware de bloqueio.
Ransomware de criptomoedas
Quando uma pessoa ou organização é vítima de um ataque de ransomware de criptomoedas, o atacante encripta os ficheiros ou dados confidenciais da vítima para que não tenha acesso a menos que pague o resgate pedido. Em teoria, depois de pagar o resgate, a vítima recebe uma chave de encriptação para ganhar acesso aos ficheiros ou dados. No entanto, mesmo que a vítima pague o resgate, não há a garantia de que o cibercriminoso irá enviar a chave de encriptação ou abdicar do controlo. O doxware é uma forma de ransomware de criptomoedas que encripta e ameaça revelar publicamente as informações pessoais da vítima, normalmente com o objetivo de humilhar ou envergonhá-la de forma a fazê-la pagar o resgate.
Ransomware de bloqueio
Num ataque de ransomware de bloqueio, o acesso da vítima ao respetivo dispositivo é bloqueado e deixa de conseguir iniciar sessão. Será apresentada à vítima uma nota de resgate no ecrã a explicar que perdeu o acesso, com instruções sobre como pagar um resgate para recuperar o acesso. Normalmente, esta forma de ransomware não envolve a encriptação, por isso, assim que a vítima recupera o acesso ao respetivo dispositivo, os dados e ficheiros confidenciais são preservados.
Responder a um ataque de ransomware
Se for vítima de um ataque de ransomware, tem opções de recurso e remoção.
Tenha cuidado ao pagar o resgate
Embora possa parecer tentador pagar o resgate para resolver o problema, não há garantias de que os cibercriminosos irão manter a palavra e conceder-lhe acesso aos seus dados. Os peritos de segurança e as autoridades recomendam que as vítimas de ataques de ransomware não paguem os resgates pedidos porque, ao fazê-lo, podem incentivar ameaças futuras e estão a apoiar ativamente atividades criminosas. Se já tiver pagado, contacte imediatamente o seu banco. Este poderá conseguir parar o pagamento se tiver pagado com um cartão de crédito.
Isole os dados infetados
Assim que for possível, isole os dados comprometidos para ajudar a prevenir a expansão do ransomware a outras áreas da sua rede.
Execute um programa antimalware
É possível lidar com muitos ataques de ransomware através da instalação de um programa antimalware para remover o ransomware. Assim que tiver escolhido uma solução de antimalware fidedigna, como o Microsoft Defender, certifique-se de que a mantém atualizada e em execução contínua para ter proteção contra os ataques mais recentes.
Comunique o ataque
Entre em contacto com as autoridades locais ou federais para comunicar o ataque. Nos Estados Unidos da América, estas são as suas informações de contacto do escritório local do FBI, o IC3, ou dos o Serviços Secretos. Este passo pode não resolver as suas preocupações imediatas, mas é importante, porque estas autoridades monitorizam ativamente ataques diferentes. Os detalhes que lhes fornecer sobre a sua experiência podem ser informações úteis no geral relativamente a encontrar e julgar um cibercriminoso ou um grupo cibercriminoso.
Proteção contra ransomware
Devido ao número mais elevado de sempre de ataques de ransomware e de tantas informações pessoais estarem contidas digitalmente, as potenciais repercussões de um ataque são assustadoras. Felizmente, existem muitas formas de manter a sua vida digital em segurança e de não a revelar a ninguém. Eis como pode ganhar tranquilidade com a proteção contra ransomwareproativa.
Instale um programa antimalware
A melhor forma de proteção é a prevenção. Muitos ataques de ransomware podem ser detetados e bloqueados com um serviço antimalware fiável, como o Microsoft Defender para Endpoint, Microsoft Defender XDR ou o Microsoft Defender para a Cloud. Quando utiliza um programa antimalware, o seu dispositivo analisa primeiro os ficheiros ou ligações que tenta abrir para ajudar a garantir que são seguros. Se um ficheiro ou site for malicioso, o programa antimalware irá alertá-lo e sugerir que não o abra. Estes programas também podem remover ransomware de um dispositivo que já esteja infetado.
Realize formações constantes
Mantenha os colaboradores informados sobre como reconhecer sinais de phishing e outros ataques de ransomware através de formações regulares. Isto irá ensinar-lhes práticas de trabalho mais seguras e como se podem manter em segurança quando utilizam os respetivos dispositivos pessoais.
Mude para a nuvem
Quando mover os seus dados para um serviço baseado na nuvem, como o Serviço de Criação de Cópias de Segurança na Nuvem do Azure ou a Cópia de Segurança do Armazenamento de Blobs de Blocos do Azure, poderá criar facilmente cópias de segurança dos dados para os proteger. Se os seus dados alguma vez forem comprometidos por ransomware, estes serviços ajudam a garantir que a recuperação é imediata e abrangente.
Adote um modelo Confiança Zero
Um modelo Confiança Zero avalia todos os dispositivos e utilizadores em relação aos riscos antes de permitir que acedam a aplicações, ficheiros, bases de dados e outros dispositivos, o que diminui a probabilidade de um dispositivo ou identidade maliciosa conseguir aceder aos recursos e instalar ransomware. Por exemplo, está comprovado que a implementação da autenticação multifator, um componente do modelo Confiança Zero, reduz a eficácia de ataques de identidade em mais de 99%. Para avaliar a fase de maturidade do Modelo Confiança Zero da sua organização, realize a Avaliação de Maturidade do Modelo Confiança Zeroda Microsoft.
Adira a um grupo de partilha de informações
Os grupos de partilha de informações, muitas vezes organizados por indústria ou localização geográfica, promovem o trabalho em conjunto de organizações estruturadas de forma semelhante a fim de encontrar soluções de cibersegurança . Os grupos também oferecem benefícios diferentes às organizações, como a resposta a incidentes e serviços de análise forense digital, notícias sobre as ameaças mais recentes e a monitorização de domínios e intervalos IP públicos.
Mantenha cópias de segurança offline
Visto que algum ransomware irá tentar localizar e eliminar quaisquer cópias de segurança online que possa ter, é uma boa ideia manter uma cópia de segurança offline atualizada de dados confidenciais que teste regularmente para garantir que se pode restaurar se for alvo de um ataque de ransomware. Infelizmente, manter uma cópia de segurança offline não irá resolver o problema se tiver sido alvo de um ataque de ransomware de criptomoedas, mas pode ser uma ferramenta eficaz num ataque de ransomware de bloqueio.
Mantenha o software atualizado
Além de manter todas as soluções de antimalware atualizadas (considere escolher atualizações automáticas), certifique-se de que transfere e instala todas as outras atualizações do sistema e patches de software assim que estiverem disponíveis. Isto ajuda a minimizar quaisquer vulnerabilidades de segurança que um cibercriminoso possa explorar para ganhar acesso à sua rede ou dispositivos.
Crie um plano de resposta a incidentes
Tal como ter um plano de emergência em vigor para sair da sua casa em caso de incêndio oferece uma melhor segurança e preparação, criar um plano de resposta a incidentes caso seja alvo de um ataque de ransomware irá fornecer-lhe passos acionáveis para seguir em diferentes cenários de ataque, para que possa voltar a uma execução normal e segura o quanto antes.
Ajude a proteger tudo com o Microsoft Security
Microsoft Sentinel
Obtenha uma visão geral de toda a sua empresa com uma solução de gestão de eventos e incidentes de segurança (SIEM) nativa da nuvem.
Microsoft Defender XDR
Proteja os seus pontos finais, identidades, e-mail e aplicações com deteção e resposta alargada (XDR).
Microsoft Defender para a Cloud
Proteja os seus ambientes híbridos e multicloud desde o desenvolvimento ao runtime.
Informações sobre Ameaças do Microsoft Defender
Compreenda os atores de ameaças e as respetivas ferramentas com um mapa da Internet completo e atualizado de forma contínua.
Combata ameaças de ransomware
Mantenha-se um passo à frente das ameaças com a prevenção e resposta automática a ataques com o Microsoft Security.
Relatório de Defesa Digital da Microsoft
Familiarize-se com o panorama atual de ameaças e saiba como criar um sistema de defesa digital.
Crie um programa anti-ransomware
Explore como a Microsoft criou o Estado de Resiliência Ideal Contra Ransomware para eliminar o ransomware.
Utilize um manual de procedimentos para bloquear ransomware
Articule e visualize o papel de todas as pessoas envolvidas no processo de bloqueio de ransomware.
Perguntas mais frequentes
-
Infelizmente, quase todas as pessoas com uma presença online podem ser alvo de um ataque de ransomware. Os dispositivos pessoais e as redes empresariais são alvos frequentes dos cibercriminosos.
No entanto, investir em soluções proativas, como os serviços de proteção contra ameaças, é uma forma viável de impedir que o ransomware infete a sua rede ou dispositivos. Por este motivo, é menos provável que as pessoas e organizações com programas antimalware e outros protocolos de segurança em vigor, como um modelo Confiança Zero, antes da ocorrência de um ataque, sejam vítimas de um ataque de ransomware.
-
Os ataques de ransomware tradicionais ocorrem quando alguém é levado a interagir com conteúdo malicioso, como abrir um e-mail infetado ou visitar um site prejudicial, que instala ransomware no seu dispositivo.
Num ataque de ransomware operado por humanos, um grupo de atacantes define como alvo e explora uma falha de segurança de dados confidenciais de uma organização, normalmente através de credenciais roubadas.
Normalmente, tanto nos casos de ransomware de engenharia social como de ransomware operado por humanos, é apresentada à vítima ou organização uma nota de resgate que especifica os dados que foram roubados e o custo da respetiva devolução. No entanto, o pagamento do resgate não garante a devolução real dos dados ou a prevenção de futuras falhas de segurança.
-
Os efeitos de um ataque de ransomware podem ser devastadores. Tanto a nível organizacional como individual, as vítimas podem sentir-se forçadas a pagar resgates elevados sem a garantia de que os dados serão devolvidos ou que não irão ocorrer mais ataques. Se as informações confidenciais de uma organização forem alvo de uma fuga de informações por um cibercriminoso, a respetiva reputação pode ser afetada e vista como não fidedigna. Além disso, consoante o tipo de informações alvo de fuga e a dimensão da organização, milhares de pessoas podem estar em risco de se tornarem vítimas de roubo de identidade ou de outros cibercrimes.
-
Os cibercriminosos que infetam os dispositivos das vítimas com ransomware querem dinheiro. Tendem a definir os regastes em criptomoedas devido à sua natureza anónima e indetetável. Num ataque de ransomware de engenharia social contra um utilizador individual, o resgate pode chegar às centenas ou aos milhares de dólares. Num ataque de ransomware operado por humanos contra uma organização, o resgate pode ser de milhões de dólares. Estes ataques mais sofisticados contra organizações podem utilizar informações financeiras confidenciais que os cibercriminosos encontraram quando entraram de forma ilícita na rede como motivo para definir um resgate que acreditam que a organização pode pagar.
-
As vítimas devem comunicar os ataques de ransomware às autoridades locais ou federais. Nos Estados Unidos da América, estas são as suas informações de contacto do escritório local do FBI, o IC3 ou dos Serviços Secretos. Os peritos em segurança e os agentes das autoridades recomendam que as vítimas não paguem os resgates. Se já tiver pagado, contacte imediatamente o seu banco e as autoridades locais. O seu banco poderá conseguir bloquear o pagamento se tiver pagado com um cartão de crédito.
Siga o Microsoft Security