Considerada uma ameaça avançada, Ramsonware muitas vezes consegue burlar a vigilância de antivírus tradicionais e de soluções Sandbox
No filme “O Preço de um resgate”, de 1996, Tom Mullen (o ator Mel Gibson) luta para resgatar seu filho de um sequestrador, trabalhando em conjunto com uma equipe de policiais para resolver esse crime. No filme, o pai milionário faz de tudo para recuperar seu filho. Em 2016, na vida real, usuários aceitam fazer de tudo para recuperar outro bem precioso: suas aplicações, igualmente sequestradas.
Um estudo feito pela Universidade da Flórida mostra que, em 2015, usuários norte-americanos de TI pagaram 24 milhões de dólares em resgate a hackers que tinham “sequestrado” suas aplicações e dados missão crítica. Segundo uma pesquisa da Verizon, o número de ataques maliciosos deste tipo aumentou 16 por cento somente no primeiro semestre de 2016.
O Ramsonware é um tipo de malware, normalmente entregue aos usuários por meio de um e-mail de phishing, que encripta dados e exige que a vítima pague um resgate para ter acesso às informações essenciais para sua vida e para seus negócios. Campanhas de 'malvertising' também servem para a disseminação do Ramsonware. Considerada uma ameaça avançada, o Ramsonware muitas vezes consegue burlar a vigilância de antivírus tradicionais e de soluções Sandbox (tecnologia que examina o arquivo suspeito num ambiente separado para desativar qualquer ameaça).
Hospitais, governos e bancos têm sido alvo de ataques como esses. Um dos setores mais atacados por Ramsomware é o da saúde. Um levantamento do instituto de pesquisa Ponemon estima que as empresas desse setor, nos EUA, pagaram, desde 2015, US$ 2.2 milhões em resgate a cibercriminosos. Essa mesma pesquisa aponta que o Ramsomware é o segundo tipo de ataque (44%) que mais preocupa os CISOs dos hospitais, clínicas e planos de saúde norte-americanos; essa ameaça só fica atrás dos avassaladores ataques DDoS, com 48% das respostas.
Em muitos casos, os cibercriminosos aliam os dois tipos de ataques e pedem resgates para, justamente, suspender ataques DDoS.
Nos últimos anos os ataques de Ramsonware só crescem. O levantamento do instituto Register mostra que foi até mesmo criado o “Ramsonware como serviço”. Esse ataque é baseado num programa criminoso chamado Ramsom32, que usa uma chave de encriptação de 128 bits para impedir o acesso a arquivos e aplicações de usuários. O acesso só é recuperado quando o usuário paga na moeda Bitcoin o valor pedido pelos cibercriminosos.
Esse ataque atua na modalidade “as a service” porque, se não houver pagamento imediato, o programa Ramsom32 se autoconfigura para pedir resgates cada vez mais altos. Em geral, a cada dia de demora em se pagar o resgate, é necessário acrescentar US$ 350 ao valor inicial exigido.
Além do Ramsomware por dinheiro há, também, sequestro de dados realizado por outros motivos. Um caso muito conhecido foi a invasão do site de encontros amorosos Ashley Madison, em 2015. O ataque efetivamente sequestrou todos os dados das centenas de milhares de usuários que marcavam encontros por meio desta plataforma online.
Em vez de pedir um resgate para liberar o acesso e preservar a privacidade dos usuários, os hackers optaram por publicar na Internet os dados dos homens e mulheres que agendavam encontros – principalmente extraconjugais – com ajuda do Ashley Madison. Esse caso tornou-se um exemplo clássico de um Ramsomware realizado por motivos morais ou políticos, não financeiros.
O medo é tal que uma pesquisa encomendada pelo banco Barclays descobriu que apenas 28 por cento dos casos de ciberextorsão são relatados às autoridades.
As forças policiais, no entanto, explicam que ficar calado e pagar o resgate encoraja os cibercriminosos a investirem mais ainda nessa atividade ilegal. Muitos consultores de segurança física e digital alertam, também, para o fato de que quem paga um resgate a uma organização pode estar financiando inadvertidamente outras atividades criminosas. Além disso, os hackers são incentivados a efetuar repetidos ataques ao mesmo alvo se este demonstrar disposição para pagar.
As empresas estão começando a educar os seus funcionários sobre riscos potenciais e melhores práticas para reagir a ciber-resgates. Por trás dessas ações está a certeza de que as aplicações de uma empresa ou de uma pessoa devem ser protegidas 24 x 7 x 365.
Para que isso aconteça, é fundamental realizar um assessment (levantamento) completo da infraestrutura atual de TI e de Segurança da empresa. O objetivo é avaliar se este ambiente seria capaz de resistir a um ataque da magnitude que os hackers são agora capazes de produzir. É fundamental, também, combinar serviços on premise e na nuvem para mitigar os ataques em tempo real. Essas operações defensivas têm de ser feitas com uma excelente relação custo-benefício e com a agilidade que os ciberataques exigem. As ofertas de MSS (Managed Security Services, serviços de segurança gerenciados) podem atender a todos esses requisitos.
Nos últimos 18 meses mudou o modo de agir das empresas atacadas digitalmente. Em vez de só levar a ameaça de Ramsonware à sério depois do estrago ter acontecido, as corporações estão, hoje, reagindo com rapidez e seriedade a esses ataques. Em alguns casos o receio de ver seus dados e aplicações indo parar em mãos erradas têm levado os gestores de TI e Segurança a optar por pagar o resgate pedido. Isso apenas perpetua o problema e fortalece a ação dos criminosos.
A melhor política é colocar a integridade das suas aplicações e dados missão crítica no centro de sua visão de TI e de Segurança, realizando as ações necessárias para proteger bens tão preciosos. A alternativa a isso é ou cair na ciberextorsão ou sofrer perdas – financeiras ou de brand value – que fatalmente prejudicarão os negócios.