TIPOS DE RANSOMWARE - PARTE I

“O WannaCry afetou 230 mil computadores em todo o mundo”

Podemos enumerar alguns tipos de ransomware e suas formas de infecção de sistemas, são cada vez mais numerosos, e temos sites que podem auxiliar na identificação do tipo de ransomware que infectou um sistema como o No more Ransom e O ID Ransomware, pois estes sites tanto identificam o tipo de ransomware invasor como indicam soluções para recuperar dados, mas nem sempre isto é possível, portanto, o usuário de um computador deve ter sempre um backup de suas informações e arquivos.

Temos dois modelos de ransomware mais importantes quanto ao modo de atuação, que são os ransomware de bloqueio e o ransomware de criptografia. O primeiro bloqueia as funções básicas de um computador, ele pode bloquear o acesso à área de trabalho e o próprio mouse e teclado, que são parcialmente desativados, pois assim o usuário infectado ainda pode acessar a janela que contém o pedido de resgate, para que efetue o pagamento. Portanto, este tipo de ransomware não destrói dados, somente exige o resgate dos mesmos mediante pagamento.

O segundo modelo de ransomware tem como objetivo criptografar os dados importantes do usuário infectado, como documentos, imagens e vídeos, sem interferir nas funções básicas do computador, o que faz com que o usuário possa visualizar os seus arquivos, mas sem poder ter acesso aos mesmos.

Os criminosos de criptografia podem muitas vezes colocar uma contagem regressiva para o resgate dos dados mediante pagamento. Portanto, se o tempo expirar tais dados serão excluídos. Se o usuário não fez backup em nuvem ou em dispositivo externo de armazenamento físico, o ransomware de criptografia pode fazer um estrago enorme, fazendo com que tais usuários desprevenidos acabem pagando o resgate..

Um dos tipos mais conhecidos de ransomware é o WannaCrypt (ou WannaCry) / Crypto malware. O WannaCrypt explora a vulnerabilidade MS17-010 do SMBv1 (Server Message Block) e CVE-2017-0144 (também chamada EternalBlue) para infectar outros computadores. O Windows desenvolveu um patch para não permitir esse erro.

O WannaCry foi um dos maiores ataques de ransomware que já houve, pois se disseminou em mais de 150 países em 2017. O WannaCry foi criado pela NSA com o objetivo de explorar uma falha de segurança do sistema operacional Windows, e acabou sendo vazado pelo grupo hacker Shadow Brokers. O WannaCry afetou 230 mil computadores em todo o mundo e atingiu um terço de todos os hospitais do Serviço Nacional de Saúde (NHS, National Health Service) do Reino Unido. Foi exigido resgate em bitcoins para os usuários bloqueados. O prejuízo financeiro mundial causado pelo WannaCry foi de, aproximadamente, US$ 4 bilhões.

Outros ransomware comuns são o Locker, que é um ransomware que bloqueia totalmente um sistema operacional. O Scareware, que é um software falso que finge que é um antivírus ou uma ferramenta de limpeza e exige pagamento para resolver o problema. Alguns tipos de Scareware bloqueiam seu computador, enquanto outros enchem sua tela com alertas irritantes e mensagens pop-up. O Doxware, por suavez, que é chamado de "vazamento", pois ameaça publicar online os dados do usuário caso não seja feito o pagamento do resgate.

O ransomware como serviço, que é o RaaS, pode ser hospedado anonimamente por um hacker, e é de fácil utilização, podendo ser disponibilizado para compradores, o que causa um bom ganho financeiro para os seus programadores. Os criminosos que usam o RaaS se envolvem tanto na distribuição deste ransomware, como coletam os pagamentos e gerenciam os decifradores, que são os softwares que restauram o acesso dos dados então sequestrados, tudo em troca da redução do preço do resgate, em que o usuário ainda assim terá que pagar uma quantia. .

O Spora, por sua vez, infecta um sistema através de phishing ou websites comprometidos, e ataca de forma lenta o servidor e encripta os dados, ele atua fingindo ser um usuário administrador da rede, insere uma janela pop-up que não some até que o usuário aceite o invasor como administrador.

O Ransomware Petya, por sua vez, explora a mesma vulnerabilidade SMB que o WannaCrypt, além do CVE-2017-0145 (também conhecido como EternalRomance), e que usa credenciais roubadas para navegar na rede, mas este ransomware ataca diretamente o disco rígido, seu acesso é negado, e criptografa a tabela de arquivos mestre (MFT) para que o sistema de arquivos fique bloqueado e o próprio Windows fique impossibilitado de iniciar.

O Petya surgiu como ataque em 2016 e ressurgiu como GoldenEye em 2017. Por meio de um aplicativo falso contendo um link infectado do Dropbox, o Petya se espalhou através de departamentos corporativos de RH. O Petya 2.0, que é sua variante, também realiza ataques fatais contra dispositivos. Quando o Petya veio como GoldenEye, isto culminou num ataque mundial em 2017 e o ransomware ficou conhecido como o “irmão mortal” do WannaCry, pois atingiu mais de 2.000 alvos, incluindo bancos e produtores de petróleo na Rússia.

O Reveton é também chamado de “Police Trojan” ou “Police Ransomware”, pois é um ransomware mais antigo que bloqueia a tela ao invés dos arquivos, logo aparecendo uma imagem em tela cheia e o gerenciador de tarefas sendo desativado. Os arquivos não são danificados ou excluídos, mas o acesso fica bloqueado. O ransomware afirma ser uma autoridade da lei dizendo que o computador do usuário realizou atividades ilegais, portanto, o pagamento deve ser feito para sanar os delitos. O Reveton usa o mesmo expediente de resgate de outros ransomwares, para que os arquivos do usuário sejam restaurados para acesso.

O Locky, por sua vez, criptografa arquivos específicos, em geral, os de mídia, e uma vez eita a criptografia, o resgate é exigido mediante instruções em nota de texto, imagem ou arquivo HTML. Ele foi usado pela primeira vez em 2016 por um grupo organizado de hackers, quando o Locky criptografou mais de 160 tipos de arquivos, sendo disseminado por phishings.  O ransomware Locky se direciona para arquivos que são mais usados por designers, desenvolvedores, engenheiros e testadores.

(continua)

Gustavo Bastos, filósofo e escritor.

Link da Século Diário : https://www.seculodiario.com.br/colunas/tipos-de-ransomware-parte-i