Como os ransomwares evoluíram e ficaram mais perigosos

Os ransomwares conquistaram o protagonismo nas notícias sobre cibersegurança. Seria esse tipo de malware mais uma tendência passageira a ser ofuscada por uma ameaça potencialmente mais perigosa? Infelizmente, pouco provável:

Os ransomwares conquistaram o protagonismo nas notícias sobre cibersegurança. Seria esse tipo de malware mais uma tendência passageira a ser ofuscada por uma ameaça potencialmente mais perigosa? Infelizmente, pouco provável: ataques de ransomwares estão alcançando taxas epidêmicas e a tendência não é diminuir. Nosso intuito não é causar alarde – temos bons motivos para esse alerta. Observe as estatísticas reunidas pela Kaspersky Security Network e você perceberá que estamos encarando perigo real.

 
A primeira onda: blockers
A história dos ransomwares pode ser dividida em duas partes: antes e depois da criptografia. Blockers foram os ancestrais dos atuais cryptors. Esse malware bloqueia sistemas operacionais ou navegadores até que a vítima pague um resgate. Nesse caso, o pagamento é feito por meio de SMS para um código que substitui o número do telefone normalmente usado para caridade, ou ainda transferindo para uma e-walet.

Esse malware era bem lucrativo – e criminosos o usaram muito. Naturalmente, especialistas em segurança e agências reguladoras combateram a ameaça rapidamente.

A solução foi rápida e efetiva, com foco nos sistemas de pagamento. Quando as regras para pagamentos eletrônicos mudaram, o cibercrime se tornou automaticamente menos lucrativo e mais arriscado, sendo que no fim muitos criminosos foram pegos.

Segunda onda: cryptors
Há dois anos tudo mudou. Os bitcoins se popularizaram entre os cibercriminosos.  A cryptomoeda é tanto um bem digital quanto um sistema de pagamento impossível de regular ou rastrear. Claro, cibercriminosos adoraram isso. Além do mais, adotaram uma nova abordagem: sai o bloqueio, entra a criptografia de arquivos e discos rígidos.

Mas por que é tão eficiente? Arquivos privados são únicos -usuários não podem simplesmente substituí-los reinstalando o sistema operacional. Se o cryptor usa um algoritmo de criptografia forte, torna-se inviável o desbloqueio dos arquivos. Isso abriu espaço para que os criminosos exigissem resgates muito altos, de centenas de dólares para usuários individuais até milhares, para empresas.

Por um tempo, essa nova geração de cryptors era menos disseminada que os antigos blockers.  Contudo, não levou muito tempo para os criminosos migrarem para esse tipo de malware. No fim de 2015, ataques de ransomware aumentaram de forma impressionante.

De acordo com nossas análises, baseadas nas estatísticas da Kaspersky Security Network, em apenas um ano o número de ataques quintuplicou: pulou de 131.111 tentativas em 2014-2015 para 718.536 em 2015-2016.

Distribuição global dos ataques e famílias mais ativas de ransomware
O Top 10 de países para ransomware é: Índia, Rússia, Cazaquistão, Itália, Alemanha, Vietnã, Argélia, Brasil, Ucrânia e Estados Unidos.  No entanto, os ransomwares encontrados na Índia, Argélia, Brasil, Rússia,  Cazaquistão, Vietnã e Ucrânia são versões relativamente antigas de blockers. Nos EUA, 40% das vítimas são atacadas por cryptors perigosos. Na Itália e Alemanha, a situação é ainda pior: nesses países a palavra “ransomware” é sinônimo de “cryptor”.

Em 2015-2016, quatro Trojans se destacaram entre os mais ativos:  TeslaCrypt (quase metade dos ataques, mas felizmente conseguimos desencriptá-lo), CTB-Locker, Scatter e Cryakl (também desencriptamos esse). Essas quatro famílias foram responsáveis por quase 80% das ocorrências.

Outro fato interessante: inicialmente, ransomwares tinham por alvo usuários domésticos. Depois do upgrade com a criptografia, começaram a ir atrás de empresas: a parcela de usuários corporativos atacados saiu de 6,8% para 13,13%.

Você pode ler mais sobre a evolução dos ransomwares de 2014 a 2016 no securelist.com.

 Como se proteger

  1. Faça backups regularmente
  2. Use soluções de segurança confiáveis. Por exemplo, o Kaspersky Internet Security, bem como todas as nossas outras soluções, detectam e bloqueiam todos as famílias de ransomware conhecidas. Elas também possuem um módulo embutido que pode proteger seus dispositivos de cryptors ainda desconhecidos.
  3. Atualize seus softwares regularmente: patches corrigem vulnerabilidades de softwares, e qualquer bug existente, quanto mais atualizado mais difícil do sistema ser infectado.
  4. Fique ligado nas notícias sobre cibersegurança aqui no Kaspersky Daly e no threatpost.com – alerta hoje, vivo amanhã. Conte aos seus amigos, parentes e colegas sobre as mais novas ameaças.
  5. Se você já caiu nas garras de um ransomware, não pague resgate antes de tentar outras opções, se for um blocker, use nossa ferramenta gratuita WindowsUnlocker. Se o inimigo é um cryptor, visite NoRansom.kaspersky.com para ver se há uma solução disponível.
Dicas