2021: O ano mais ativo para ransomwares já registrado.

Com um aumento de 148%, 2021 se mostra como o ano onde mais ataques de ransomwares ocorreram.

No Brasil, que ocupa o 5º lugar nos países que mais sofrem com ataques cibernéticos, o aumento em 2021 foi de 92%.

De acordo com o levantamento, o prejuízo total associado ao ransomware atingiu US$ 20 bilhões em todo o mundo. E as empresas estão cada vez mais na mira dos criminosos: cerca de US$ 370 milhões em criptomoedas foram perdidos com este tipo de ataque somente em 2020.

Mas, o que são ransomwares?

De uma forma resumida, é um ataque que visa o sequestro de dados. Ransomware é um malware que criptografa arquivos importantes no armazenamento local e de rede e exige um resgate para descriptografar os arquivos.

A forma como o ransomware funciona torna-o especialmente prejudicial. Outros tipos de malware destroem ou roubam dados, mas deixam outras opções de recuperação abertas.

Com o ransomware, se não foram feitos backups, o resgate deve ser pago para que os dados sejam recuperados. Às vezes, as empresas pagam o resgate e o invasor não envia a chave de descriptografia.

Devido ao risco desse ataque, o governo dos Estados Unidos organizou, em novembro deste ano, uma cúpula global de ransomware, mostrando que não é só o setor de cibersegurança que reconhece o perigo.

O encontro, que reuniu representantes de governos do Reino Unido, Índia, Austrália, Alemanha e França, bem como outros países da União Europeia, tinha o compromisso de juntar “todas as ferramentas nacionais” visando impedir ataques cibernéticos em setores críticos.

Apesar dos esforços, o Reino Unido viu um aumento de 233% no número de ataques, enquanto os Estados Unidos tiveram um aumento de 127% no acumulado do ano.

Os ransomwares visam dados importantes:

Assim que infecta os dispositivos, o ransomware inicia sua busca nos armazenamentos locais e de rede, procurando arquivos para criptografar.

Alguns tipos de arquivos que são alvos são:
- Microsoft Office: .xlsx, .docx e .pptx
- Imagem: .jpeg, .png, .gif
- Imagens relacionadas a negócios: .dwg
- Dados: .sql e .ai
- Vídeos: .avi, .m4a e .mp4

A maioria dos ransomwares tem como alvo os arquivos do Microsoft Office porque eles geralmente armazenam informações mais relevantes da empresa.

Como os ataques acontecem?

O ransomware é diferente de outro malware por conta do que acontece após a sua ativação.

Geralmente é executado quando um usuário abre um anexo ou clica em um link em um e-mail de phishing. O malware então é baixado de um servidor controlado pelo invasor, após o download do ransomware, ele pode permanecer inativo em sua unidade de rede ou ser executado diretamente em um computador infectado.

Quando executado, ele verifica os sistemas de armazenamento local e de rede disponíveis em busca de extensões de arquivo específicas e os criptografa, impedindo o acesso por parte dos responsáveis pelo sistema. Depois de criptografar os arquivos, a empresa recebe a informação do sequestro e então os criminosos exigem um pagamento para que o acesso aos arquivos sejam novamente liberados.

Normalmente, os pagamentos são exigidos em criptomoedas, principalmente Bitcoin, isso reduz a chance de serem pegos, além de proteções como utilizar servidores por trás da TOR, uma rede de anonimato, que impede que sejam identificados.

Um caso recente de ataque ransomware ocorreu nas subsidiárias da JBS, empresa brasileira processadoras de carne.

O ataque ao frigorífico resultou em um resgate no valor correspondente a US $11 milhões. A JBS identificou ataques aos servidores da empresa nos Estados Unidos e na Austrália.

Como impedir que sua empresa seja a próxima vítima?

O primeiro passo e a melhor forma de se proteger é utilizando backups. Os arquivos de backup armazenados localmente ou em uma unidade de rede são vulneráveis.

O armazenamento em nuvem é protegido contra varreduras de rede de ransomware, por isso é uma boa solução para recuperação. Uma exceção é se você mapear o armazenamento em nuvem como uma unidade ou subpasta local.

A maioria dos ataques começa quando os usuários baixam acidentalmente o software diretamente.

Duas maneiras de impedir que os usuários baixem ransomware são a filtragem de conteúdo baseada em DNS e a cibersegurança de e-mail que incorpora a quarentena de inteligência artificial.

A filtragem de conteúdo baseada em DNS impede que os usuários naveguem em sites na lista de bloqueio. Os filtros de e-mail enviam conteúdo malicioso e anexos para a quarentena para análise do administrador.

Contar com softwares antimalware com machine learning e que realizem o monitoramento do comportamento em todos os dispositivos também é uma ação importante. Uma boa aplicação detecta o ransomware antes que ele criptografe os arquivos.

Os alvos são qualquer empresa, independente do tamanho. Por isso é preciso estar sempre atento.

Entender como esse tipo de invasão funciona e como eles podem afetar a empresa ajudará a se defender melhor.

Educar os usuários, executar o antimalware em todos os dispositivos, incluindo os móveis e impedir que mensagens maliciosas sejam acessadas são as melhores maneiras de parar um ataque.

O cuidado deve ser constante.