.webp "Avanços na Inteligência Artificial")
.webp "Cibersegurança na TI")
Entenda como funcionam esses ataques e por que é tão difícil rastrear os criminosos.
No primeiro semestre de 2017 ataques ransomwares foram assunto recorrente devido ao grande impacto das invasões de diversos malwares. É uma modalidade de crime virtual que tem ganhado, a cada dia, mais popularidade, uma vez que a forma de pagamento escolhida não pode ser rastreada e que a deep web disponibiliza diversos pacotes de Ransomware as a Service (RaaS).
Embora essa técnica não seja recente, tendo os primeiros malwares sido desenvolvidos por volta de 1990, poucas pessoas verdadeiramente compreendem a maneira como acontecem, como os criminosos escolhem as vítimas, abordam e sequestram seus dados.
Em níveis básicos, o processo percorrido por um ransomware é: o cibercriminoso invade um computador e copia os dados para um servidor externo protegido por criptografia, deixando, os arquivos da vítima inacessíveis. Eles podem ser vistos, mas o computador não consegue abrir as extensões. Neste momento, o criminosos exige um resgate para enviar o código que desbloqueia os arquivos.
Como resultado, a vítima perde o acesso aos arquivos e à confidencialidade, possibilitando que as informações sejam vazadas. Ela pode ser qualquer pessoa, desde empresas de diferentes portes em diversos setores até consumidores.
Para entender melhor como funcionam trazemos a anatomia de uma invasão ransomware em 6 etapas.
ETAPA 1: Distribuição
A forma mais comum de distribuição de malwares é o phishing. Geralmente pautado em engenharia social, onde o criminoso busca identificar páginas ou informações que possam levar a vítima a acessar o link fraudulento, anexo de e-mail ou arquivo para download que contém a infecção.
Ela não acontece apenas por e-mail, existem diversos anúncios em websites, softwares e apps para baixar e, em casos mais extremos, pen drives que os criminosos deixam em lugares estratégicos ou levam até empresas com alguma desculpa para que alguém abra.
Ainda que muito conhecida, a técnica é eficiente por utilizar como brecha a curiosidade e credulidade das pessoas. Uma em cada quatro pessoas abre mensagens phishings, sendo que uma a cada dez, além de abrir, ainda acessa os links, anexos e arquivos infectados presentes.
ETAPA 2: Infecção
A partir do momento que o arquivo ou link infectado é acessado, o binário que carrega o malware se insere no computador, iniciando os processos exigidos para que as atividades maliciosas sejam completadas. Esta é a etapa que varia de acordo com o malware executado, variando entre ocorrer no momento de atualizar ou desligar a máquina, ao abrir um programa específico no computador ou em outras circunstâncias.
É a partir dessa ação que o código entra em atividade, desativando cópias e sistemas de reparação e recuperação de erro, programas de defesa e outros.
ETAPA 3: Comunicação
Uma vez ativo, o malware começa a se comunicar com os servidores de chave de criptografia, obtendo a chave pública que permite que os dados da vítima sejam criptografados. É nestes servidores que os códigos para alterar os arquivos estão guardados. Eles começam a trabalhar a partir do momento em que o malware é conectado.
ETAPA 4: Pesquisa de arquivos
O ransomware faz uma varredura sistemática no computador da vítima em busca de arquivos de sistema específicos, que sejam importantes para o usuário e que não possam ser replicados facilmente, como é o caso de arquivos com extensão .jpg, .docx, .xlsx, .pptx, e .pdf.
ETAPA 5: Criptografia
É nesta etapa que o processo de mover e renomear os arquivos identificados na etapa anterior acontece, embaralhando as informações para que o sistema da máquina do usuário não consiga mais oferecer acesso ao usuário, de forma que passa a ser necessário, para a recuperação, descriptografá-los.
ETAPA 6: Pedido de resgate
Geralmente, o que acontece é que um aviso aparece na tela do computador infectado da vítima. É onde o hacker avisa que sequestrou os dados e que só vai devolvê-los se o usuário fizer o pagamento do resgate. Uma vez que o pagamento é efetuado e verificado, o cibercriminoso envia à vítima a chave de criptografia capaz de desbloquear a máquina.
Mas, por que os criminosos cibernéticos responsáveis por ataques ransomware saem impunes?
Existem dois motivos principais que impedem que a justiça seja feita e os hackers identificados: o IP utilizado para o ataque e a forma de pagamento escolhida.
IP mascarado: os hackers responsáveis por ataques ransomware são capazes de alterar seu IP, ou seja, sua localização, confundindo as autoridades e tornando quase impossível localizar de onde as mensagens pedindo resgate foram enviadas.
Forma de pagamento: resgates de ataques ransomwares são pedidos em bitcoins, uma moeda virtual, o que torna o rastreamento do destinatário do pagamento mais difícil.
É pela aparente simplicidade da anatomia dos ataques e pela grande dificuldade de encontrar e punir os criminosos que toda empresa e usuário deve se manter atento à segurança de suas redes.
Escreva seu comentário