• Cybercriminosos Usam Práticas de Ransomware como Alavancagem de Lucros

    Os cybercriminosos que usam as práticas de ransomware para tirar vantagens em suas atividades, podem preferir receber seus pagamentos em Bitcoin, mas a moeda crypto é apenas uma maneira de ofuscar o verdadeiro destino do pagamento. Esta análise foi feita por um estrategista sênior de prevenção de fraudes da IBM Etay Maor, que compartilhou em sua apresentação durante a Conferência RSA 2015. A impopularidade do Bitcoin, quando se trata de manter seu dinheiro ao alcance dos criminosos e favorecendo o seu uso, deve-se à moeda ter um comportamento sempre oscilante. Além disso, a "lavagem de dinheiro do resgate" pago quando alguma vítima cai em um golpe de ransomware não é problema para os cybercriminosos, já que eles contratam serviços estabelecidos ou encontram as chamadas "mulas de dinheiro". As mulas são recrutadas em todo o mundo: na Ásia e na Australásia em sua maioria são estudantes estrangeiros, enquanto que na Europa eles são geralmente aposentados. A prática de ransomware continua a ser uma grande fonte de renda para os cybercriminosos, principalmente porque muitos usuários em última instância pagam o resgate, a fim de obter os seus arquivos de volta.


    Além disso, os criminosos estão descobrindo que é mais fácil conseguir o dinheiro diretamente com as vítimas, ao invés de primeiro roubar suas informações, e, em seguida, tentar chatangeá-las a fim de chegar até o seu dinheiro. Ultimamente, os comercializadores de ransomware também resolveram focar na segmentação dos administradores de Web site com o malware. Como a perda de arquivos e bancos de dados nestes casos podem ocorrer, há ainda possibilidade de resultar em perda considerável de receitas. Assim, as vítimas são mais do que propensas a optar por pagar o resgate. Reforçando que o ransomware é uma espécie de malware (software mal-intencionado) que os cybercriminosos instalam no computador de suas vítimas sem que haja o seu consentimento. O ransomware dá aos criminosos a possibilidade de bloquear o computador a partir de um local remoto. Depois, ele apresenta uma janela pop-up com um aviso de que o computador está bloqueado e que a pessoa não poderá acessá-lo, a menos que pague uma determinada quantia para liberá-lo. Isso gera desespero e na ânsia de obter seu computador de volta para normalmente utilizá-lo, muitas pessoas acabam pagando o tal do resgate.


    Implementação das Práticas de Ransomware

    O ransomware, de um modo geral, é instalado quando a pessoa abre um anexo mal-intencionado que consta em uma mensagem de e-mail ou quando clica em um link malicioso em uma mensagem de e-mail, em alguma mensagem instantânea, site de rede social ou qualquer outro website. O ransomware pode ser instalado quando você visita um site malicioso. Para evitar o ransomware, existem diversas maneiras gratuitas de ajudar a proteger o seu computador contra ransomware e outros tipos de malware, portanto mantenha todo o software no seu computador atualizado. Além disso, garanta que a atualização automática esteja habilitada para obter todas as últimas atualizações de segurança disponíveis. Importante também é manter o seu firewall ativado e não abrir mensagens de e-mail de spam, e muito menos clicar em sites suspeitos.


    1980: Década de Projeção do Ransomware

    Pode parecer que ransomware é uma praga que surgiu no ano 2000, mas ele já existia bem antes disso. O primeiro ransomware foi desenvolvido por Joseph Popp no ano de 1989. Tratava-se de um trojan conhecido pelo nome de "AIDS": ele enganava os usuários dizendo a eles que a licença de determinado software tinha expirado. A partir daí, esta praga criptografava todos os arquivos do disco rígido e exigia às vítimas que elas pagassem uma quantia de 200 dólares à corporação "PC Cyborg", caso quisessem que seu sistema fosse desbloqueado e pudessem usar seu computador novamente. O "AIDS" criptografava os nomes dos arquivos utilizando um sistema de criptografia simétrica; e uma vez que os especialistas tiveram a chance de analisar o código do malware, tornou-se muito simples reverter o processo e rastrear o cybercriminosos. Como as coisas mudaram bastante ao longo dos anos e os cybercriminosos adquiriram mais conhecimento e incorporaram sofisticação em suas técnicas, eles passaram a utilizar a criptografia assimétrica.


    Ransomware Bloqueadores e Codificadores

    De forma elementar, existem dois tipos de ransomware: os ransomware bloqueadores e os codificadores. Os codificadores são os trojans que criptografam qualquer tipo de arquivos que poderiam ser de grande valia para os usuários. Isso pode incluir fotos pessoais, arquivos, documentos, bancos de dados, dentre outros. Os tipos de ransomware bloqueadores também são trojans (alguns dos bloqueadores mais proeminentes estão baseados em outros trojans, como é o caso do "Reveton", que está baseado no trojan bancário ZeuS). Este tipo de ransomware apenas bloqueia os sistemas infectados e exige o pagamento. Outra característica importante sobre o ransomware, é que ele está presente em múltiplas plataformas. Esta praga tornou-se extremamente popular no segundo semestre de 2000. Logo no início, a maioria das vítimas eram usuários de computadores que executavam o sistema Windows, mas com o tempo, o ransomware surgiu em outras plataformas, incluindo iOS, Mac OS X e Android.


    Pagamento de Resgate nem Sempre é Solução

    Da mesma forma que acontece com os fraudadores da vida real, não existe absolutamente nenhuma garantia de que eles vão concretizar a sua parte conforme o que foi combinado, ou seja, nem sempre quando a pessoa paga a quantia determinada pelos cybercriminosos para que seu computador seja desbloqueado e ela possa reaver seus arquivos, isso de fato vai acontecer. Porém, mesmo se as vítimas façam a opção por pagar, isso não significa que elas terão acesso aos seus arquivos. A melhor coisa é fazer todo o possível para prevenir a infecção e não cair nas armadilhas dos criminosos, que agora viram nas práticas de ransomware um meio bastante viável para a expansão de seus lucros.


    Distribuição como Outros Tipos de Malware

    Existem muitas maneiras pelas quais o ransomware pode ser distribuído, mas na maioria das vezes ele é entregue através de spam, ou se comporta como worms de computador, incitando os usuários a fazer o download de conteúdo malicioso usando técnicas genéricas de engenharia social. O perigoso Cryptolocker original, por exemplo, já foi distribuído através da botnet Gameover ZeuS e teve seus efeitos neutralizados pelas autoridades durante a famosa operação "Tovar". No decorrer desta operação, uma base de dados de chaves privadas utilizadas pelo Cryptolocker foi recuperada e em seguida, utilizada para ajudar as vítimas deste ransomware a recuperar seus arquivos que tinham sido criptografados. Além de tudo isso, o grau de sofisticação do ransomware só aumenta com o passar do tempo. Os codificadores utilizam técnicas de criptografia RSA cada vez mais sofisticadas, e códigos cada vez mais extensos. No ano de 2006, o ransomware Gpcode.AG utilizava uma chave RSA pública de 660 bits. Em um período de dois anos, a sua nova variante já utilizava uma chave de 1024 bits, o que era quase impossível de decifrar. Na atualidade, Cryptolocker utiliza uma chave RSA de 2048 bits.


    Práticas de Fraudes

    Em cada ataque realizado, os cybercriminosos costumam pedir que seja feito um pagamento em dólares através de plataformas de pagamento anônimas (MoneyPark, Ukash). Além disso, eles estipulam um tempo limitado para o pagamento, e caso o resgate não seja pago nesse período, as chaves são eliminadas da base de dados e a recuperação dos arquivos se torna impossível. Quando os ataques tem como alvo as corporações, as extorsões envolvem resgates com valores muito mais altos. Por isso, é importante que os usuários façam backup de seus arquivos, para evitar transtornos futuros. A prevenção contra um ataque de ransomware requer exatamente as mesmas medidas que seriam tomadas para qualquer outro tipo de atividade de malware. Diante dessa ameaça, procure manter seu sistema sempre atualizado, assim como as soluções antivirus, para que possam bloquear todo o tipo de acesso não autorizado aos seus dados. Importante lembrar de fazer backups dos seus arquivos em modo offline, o que é uma excelente forma de se proteger contra esta ameaça. Se por um acaso vier ocorrer uma infecção, a única coisa que você deverá fazer é formatar seu sistema e restabelecer seus arquivos. Interessante lembrar que até alguns meses, essas pragas eram uma preocupação maior na Europa (na Rússia, especialmente) e nos Estados Unidos. Entretanto, de acordo com uma análise feita por vários pesquisadores da área da Segurança da Informação, hoje é possível dizer que já foram registrados muitos casos de ransomware América Latina. O mais relevante deles é o de um ransomware que se passava por um alerta do FBI. Ele bloqueava o computador das pessoas, exibindo na tela um texto que dizia que seu a máquina tinha sido travada porque havia pornografia infantil ou ilícita guardada nela. Mas na verdade, era apenas os golpistas usando o ligo do órgão em questão, na tentativa de fazer que suas possíveis vítimas caíssem na armadilha.


    Saiba Mais:

    [1] The Register http://www.theregister.co.uk/2015/04...mware_bitcoin/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L