Ransomware: Exemplos e tendências em 2024

A definição curta de ransomware está escondida em seu nome, assim como em muitos outros vírus. “Ransom software” é um programa que injeta em seu computador, criptografa seus arquivos e, em seguida, pede que você pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem ameaçar suas vítimas de excluir seus arquivos ou publicar alguns de seus dados confidenciais se você não pagar o resgate. Embora o primeiro perigo seja 100% mentira, a segunda tese pode ser real, pois o ransomware geralmente é espalhado com spyware ou ladrões.

Vários exemplos de ransomware usam diferentes métodos de criptografia. Os princípios de criptografia AES-256 e RSA-1024 são usados ​​na maioria dos casos, mas às vezes você pode atender aos padrões usando RSA-2048. O número no final significa principalmente o grau que você precisa trazer dois para obter o número de chaves possíveis. Mesmo no caso do AES-256, o número de chaves é um número de 78 dígitos. Você pode usar força bruta? Talvez, se você tiver 2 milhões de anos sobrando. Ou um PC quântico com desempenho muito melhor do que qualquer outro atualmente existente. ~ Equipe Gridinsoft

Para cada vítima, o ransomware gera uma chave online exclusiva. Essa chave é armazenada no servidor mantido por criminosos cibernéticos. Se o vírus não conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que é armazenada localmente na máquina criptografada. A quantidade de chaves offline é limitada. Portanto, você tem uma chave de descriptografia em comum com várias outras vítimas.

Infelizmente, não há 100% de garantia de recuperar seus arquivos. Se você tiver sorte e o ransomware usar a chave offline, poderá descriptografar seus dados muito mais rápido. No entanto, obter as chaves é bastante longo e você pode ter que esperar várias semanas. O aplicativo de descriptografia, que deve ser usado para descriptografia de arquivos, receberá a atualização com a chave adequada para você assim que os analistas a encontrarem.

As chaves online são muito mais difíceis de resolver. Como cada chave é única, você pode esperar meses. Os distribuidores de ransomware provavelmente serão pegos e forçados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves são liberadas ao público é quando os criadores de ransomware decidem encerrar suas atividades maliciosas. Tal situação ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilhões de dólares e suspenderam suas atividades.

Estágios de ataque de ransomware

A maioria dos analistas define seis estágios principais de um ataque de ransomware. Eles podem acontecer durante um único dia e dentro de um mês. No entanto, a ordem, bem como o sentido desses passos, permanece sempre o mesmo.

Compromisso. Às vezes, também é chamado de injeção inicial. Nesse ponto, os invasores injetam o malware na rede (ou no dispositivo, se for um ataque contra o usuário individual). O comprometimento geralmente é feito por meio de violações de RDP, spam de e-mail ou uso de software não licenciado.

Infecção. Nesse estágio, os criminosos usam a presença inicial na rede que ganharam para injetar a carga maliciosa. Eles raramente usam downloads diretos - é fácil detectar e prevenir com soluções de segurança. É por isso que o download de malware geralmente explora os erros do Windows e do software de aplicativos. No entanto, pode até preferir o download direto quando atinge a rede desprotegida ou um único usuário.

Escalonamento. Todo malware depende da execução com privilégios de administrador. Essa propriedade possibilita diminuir o risco de malware usando a conta com privilégios de usuário. No entanto, mesmo nesse caso, os cibercriminosos podem encontrar um caminho. A maioria dos estágios de escalonamento em redes corporativas é feita por meio da exploração de vulnerabilidades, principalmente aquelas que escalonam privilégios.

Verificar. Essa etapa supõe a verificação da(s) máquina(s) infectada(s) para detectar todos os arquivos que o ransomware pode criptografar. Normalmente, o ransomware pega os formatos de dados mais sensíveis - aqueles que pertencem a arquivos, imagens e músicas do MS Office. No entanto, alguns agem de forma diferente e cifram o que alcançam, apesar dos arquivos que podem prejudicar a funcionalidade dos programas.

Criptografia. A criptografia pode levar minutos ou horas, dependendo do número de arquivos nas máquinas atacadas e da qualidade do software de codificação. O grupo LockBit, por exemplo, é conhecido por ter a criptografia mais rápida - leva apenas 5 minutos para criptografar 100 GB de dados.

Dia de pagamento. Quando a criptografia termina, o malware notifica a vítima sobre o ataque. Geralmente gera um arquivo de nota de resgate na área de trabalho e em cada pasta com arquivos criptografados. Opcionalmente, também pode alterar o papel de parede da área de trabalho para a nota de resgate. Nos casos mais extremos (como o Petya ransomware), o malware infectará o carregador de inicialização e mostrará o banner da nota de resgate quando você pressionar o botão liga/desliga em vez do carregamento do sistema operacional.

Tipos de ransomware

Existem vários tipos de ransomware atualmente. Todos os usuários da comunidade de segurança cibernética estão acostumados com o tipo de ransomware chamado crypto. Esse é precisamente o vírus sobre o qual você pode ler acima. Outro tipo de ransomware estava ativo muito antes, antes de 2014. Chamava-se ransomware de armário. Como você pode entender pelo nome, esse vírus estava bloqueando seu sistema, pedindo um resgate pelo desbloqueio da área de trabalho. Deixe-me mostrar a diferença crítica entre locker e crypto-ransomware:

Últimos ataques de ransomware

• Phobos Ransomware Mimics VX-Underground Researchers
• Conti Members Are Back in Action as Part of Akira Ransomware
• 8Base Ransomware Group On The Rise, Lists a Number of Victims
• WannaCry 3.0 Ransomware Aims At Enlisted Russian-speaking Players
• Microsoft Researchers Link Clop Gang to MOVEit Transfer Attack
• FIN7 Hack Group Resumed Activity, Linked to Clop Ransomware
• Clop and LockBit Ransomware Exploit Fresh Vulnerabilities in PaperCut
• Rorschach's New Ransomware Is Named the Fastest to Date

Lista de famílias de ransomware, atual para April, 2024:

• Avaddon ransomware teve uma vida curta, mas bastante ativa: seus desenvolvedores decidiram encerrar suas atividades em maio de 2021
• STOP Djvu ransomware é uma das famílias de ransomware mais difundidas. A primeira atividade desse tipo de vírus foi detectada em 2018 e, ainda assim, sua atividade é muito alta. Sendo direcionado principalmente a usuários simples, este ransomware pode ser um exemplo perfeito de um ransomware "clássico"
• Conti ransomware. Esse grupo criminoso ataca organizações onde as interrupções de TI podem ter consequências fatais: hospitais, operadoras de emergência, serviços médicos de emergência e agências de aplicação da lei
• Matrix ransomware é um veterano do setor de ransomware, que apareceu em dezembro de 2016
• MedusaLocker ransomware apareceu em setembro de 2019 e teve um início muito rápido com ataques a empresas de todo o mundo l>
• Snatch ransomware usa o truque com o modo de segurança do Windows e serviço privilegiado
• VoidCrypt ransomware usa vários recursos que são mais comuns para vírus corporativos
• Xorist ransomware usa o construtor de criptografia pode mudar tanto que é difícil reconhecê-lo
• Dharma ransomware surgiu por volta de 2016, esta família de ransomware visa uma pequena empresa. Quase 77% de todos os casos do Dharma estão relacionados à exploração de vulnerabilidades RDP
• Egregor ransomware atacou grandes empresas de todo o mundo
• HiddenTear - Sendo inicialmente criado para fins educacionais
• LockBit um ransomware extremamente rápido
• Magniber ransomware tentando usar uma vulnerabilidade conhecida do PrintNightmare para comprometer as vítimas
• Makop não permanece em um único algoritmo de criptografia
• Ryuk é um veterano que possivelmente está relacionado a hackers norte-coreanos

É uma solução para pagar o resgate?

A maioria da renda que os desenvolvedores de ransomware recebem é usada para financiar várias atividades fora da lei, como terrorismo, outras campanhas de distribuição de malware, tráfico de drogas e assim por diante. Como todos os pagamentos de resgate são feitos em criptomoedas, não há como descobrir a personalidade dos bandidos. No entanto, os endereços de e-mail às vezes podem indicar distribuidores de ransomware no Oriente Médio.

Como você já pode concluir, pagar o resgate equivale a participar de atividades fora da lei. Claro, ninguém vai culpá-lo pelo financiamento do terrorismo. Mas não há nada agradável em entender que o dinheiro que você ganha por um trabalho justo é gasto em terrorismo ou drogas. Muitas vezes, mesmo grandes corporações que são chantageadas com ameaças de publicar alguns dados internos não estão pagando um centavo a esses bandidos.

Como posso proteger meu computador contra ransomware?

Geralmente, os programas antimalware atualizam seus bancos de dados de detecção todos os dias. O GridinSoft Anti-Malware pode oferecer atualizações de hora em hora, o que diminui a chance de uma amostra de ransomware completamente nova se infiltrar no seu sistema. No entanto, fazer uso de software anti-malware não é uma panacéia. Seria melhor se você fosse cuidadoso em todos os lugares de risco. São eles:

• Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da família, está relacionada a mensagens de e-mail maliciosas. As pessoas costumavam confiar em todas as mensagens enviadas por e-mail e não achavam que algo malicioso pudesse estar dentro do arquivo anexado. Enquanto isso, os ladrões cibernéticos usam essa fraqueza e enganam as pessoas para habilitar macros em arquivos do Microsoft Office. Macros é uma aplicação específica que permite aumentar a interação com o documento. Você pode construir qualquer coisa no Visual Basic e adicioná-la ao documento como macros. Ladrões, sem pensar mais, adicionam código de ransomware.
• Utilitários duvidosos e programas não confiáveis. Você pode ver vários conselhos enquanto navega na Web. Fóruns online, redes sociais e redes de semeadura - esses locais são conhecidos como fontes de várias ferramentas específicas. E não há nada de ruim em tal software - às vezes, as pessoas precisam de funções que não são exigidas (ou aceitas) para a produção corporativa. Essas ferramentas são os chamados keygens para vários aplicativos, ativadores de chave de licença (o KMS Activator é um dos mais conhecidos) e utilitários para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, portanto, você provavelmente desativará o antivírus ou adicionará o aplicativo à lista de permissões. Enquanto isso, esse utilitário pode estar limpo ou infectado por trojans ou ransomware.

Uma linha do tempo dos maiores ataques de ransomware:

• KAAA Ransomware (.kaaa File Extension)
• UAZQ Ransomware (.uazq File Extension)
• UAJS Ransomware (.uajs File Extension)
• LOOY Ransomware (.looy File Extension)
• VOOK Ransomware (.vook File Extension)
• KOOL Ransomware (.kool File Extension)
• NOOD Ransomware (.nood File Extension)