O que começou com poucos dólares de resgate para recuperar dados criptografados por malware do tipo Ransomware, agora esses valores já ultrapassaram a barreira dos milhões de dólares. Esse tipo malware impede ou limita o acesso dos usuários ao seu sistema e exige o pagamento de um resgate através de pagamentos online para obter novamente acesso aos dados. Alguns ransomware criptografam os arquivos (chamados de Cryptolocker). Alguns utilizam a rede TOR para evitar o rastreamento da comunicação. Os preços variavam entre US$24 até US$600, pagos através de bitcoin. Obviamente, como qualquer ato criminoso de sequestro, o pagamento do resgate não garante a liberação da vítima. Um Ransomware pode ser baixado, inconscientemente, pelo usuário visitando sites maliciosos ou comprometidos e através de anexos de e-mails. Empresas que não possuam planos de resposta para ataques terão suas operações interrompidas e prejuízo financeiro, e talvez até optem por pagar o resgaste.
Empresas que operam sistemas de missão crítica baseado em sistemas SCADA são mais vulneráveis a ataques por não terem proteções sofisticadas e, em muitos casos, usam sistemas operacionais obsoletos. A infecção de sistemas SCADA, apesar de isolados das redes corporativas, são feitos através de pendrives, como foi o famoso caso do ataque cibernético ao sistema nuclear do Irã e o blackout de energia na Ucrânia.
Uma vez executado no sistema, um ransomware pode bloquear complemente o sistema ou bloquear os arquivos predeterminados a partir de uma palavra chave. No primeiro caso, o ransomware mostra uma tela que impede o usuário a acessar o sistema e dá as instruções de como pagar o resgate. O segundo tipo, o ransomware criptografa documentos, planilhas e outros arquivos importantes.
Os primeiros casos de infecção ransomware datam de 2005-2006 na Rússia. Alguns ransomware localizam a área geográfica da vítima e mudam o teor do texto para iludir o usuário e fazendo que ele execute ou abra um arquivo. Os pagamentos de resgastes eram realizados através de serviços de pagamento online que permitem anonimato.
Em 2013, um ransomware conhecido como CrytoLocker criptografava os arquivos com chaves RSA-2048 ou AES+RSA. O RSA usa uma criptografia de chaves assimétricas, uma usada para criptografar e outra para decifrar, as chamadas chaves públicas e privadas. A AES usa chave simétrica, uma única senha, para criptografar e decifrar. A tática para saber que criminoso não está blefando é liberar a chave simétrica para decifrar os arquivos, entretanto, sem uma das chaves assimétricas é impossível abrir os arquivos.
Em casos mais recentes, o malware depois de comprometer o sistema ele se autodestrói, sendo impossível rastreá-lo no computador, neutralizando ações forenses. Outra sofisticação dos ransomware é que eles podem comprometer também os arquivos de backup gerados por algumas tecnologias de espelhamento de arquivos.
As recomendações para evitar esse tipo de malware são as mesmas para outros tipos de vírus. Não acesse sites duvidosos, não abra e-mails de desconhecidos, mantenha backups off-line de seus arquivos e mantenha seu antivírus e seus sistema operacional atualizados. Mantenha programas de treinamento e conscientização de empregados para evitar infecções no ambiente corporativo.
Em alguns casos, você pode recuperar seus arquivos retornando a um ponto de recuperação do sistema ou fazendo uma cópia das trilhas do disco infectado.
O fato é que os cybers criminosos estão cada vez mais sofisticados, alguns financiados por empresas e governos, e para estarmos a frente dos ataques são requeridas novas abordagens de segurança, arquiteturas de backup de dados e redundância de servidores e sistemas de armazenamento.
O uso de ferramentas baseadas em computação cognitiva e Big Data são poderosas para monitorar o comportamento dos ambientes e tomar ações imediatas para proteger os sistemas.
Em segurança da informação não dá para subestimar os riscos, a efetivação de um ataque pode destruir uma empresa, principalmente agora que grandes empresas e países estão entrando na guerra cibernética.