Nesta quarta-feira (12), o ataque ransomware que fez o mundo chorar completou 4 anos. No dia 12 de maio de 2017, o WannaCry foi descoberto e colocou uma grande parcela do mundo em alerta.

No Brasil, órgãos públicos como o Ministério Público de São Paulo (MPSP), o Superior Tribunal de Justiça (STJ), o TJSP e o INSS foram afetados. O país ficou em quinto lugar no ranking mundial de infecções pelo ransomware — um tipo de malware que “sequestra” os dados e depois cobra um resgate.

Mas será que, desde que foi descoberto, a situação na área de segurança melhorou no cenário nacional e internacional? Quais foram as mudanças desde então? O Detetive TudoCelular separou as principais informações sobre o tema para atualizá-lo.

Uma das modificações desse tipo de cibercrime é que os ataques deixaram de ser massivos e passaram a acontecer de forma mais direcionada. Até 2019, o foco estava no roubo de dados em massa. Já ao longo de 2020, houve uma diminuição desse tipo em 35% entre o primeiro e o último trimestre, segundo dados de telemetria da ESET.

Por outro lado, desde o ano passado, o modelo Ransomware-as-a-service (RaaS) tem aparecido mais. Nele, os desenvolvedores de malware utilizam outros criminosos para espalhar a ameaça em troca de uma porcentagem no que conseguir arrecadar.

O analista sênior da Kaspersky no Brasil, Fabio Assolini, explica que existe um único motivo para essa transição da forma que os grupos de ransomware operam: o lucro. Por ter se tornado um negócio lucrativo, acabam por conseguir dividir o trabalho entre parceiros e afiliados.

“Estamos testemunhando uma grande transformação na forma que os grupos de ransomware operam — e o único motivo para essa mudança é o lucro. Atualmente, estes cibercriminosos têm muito dinheiro para financiar o trabalho de reconhecimento prévio, que é realizado nas redes das potenciais vítimas. Este é um negócio muito lucrativo, ao ponto de poder dividi-lo entre parceiros e afiliados. Para diminuir a quantidade de ataques, precisamos interromper o fluxo financeiro desse ecossistema. A única maneira de fazer isso é não pagar o resgate.”

Fabio Assolini

Analista sênior da Kaspersky no Brasil

Um relatório da Kaspersky mostra que, entre 2019 e 2020, houve um aumento de 767% nas tentativas de ataques de ransomware direcionado, aqueles nos quais o cibercriminoso estuda a vítima e encaminha uma armadilha específica para ela cair. No entanto, a empresa ressalta que o WannaCry ainda está em circulação e equivale a 16% das detecções feitas no ano passado.

Já a ESET ressalta que o WannaCry segue como a família de ransomwares mais detectada na América Latina, com um total de 56,4% detecções ao longo de 2020. Na região, a Venezuela concentra a maioria dos ataques (52,5%), seguida por Equador (11,5%), Colômbia (8,9%), México (8%) e Peru (7,4%).

Ele é identificado em hashes — algoritmos de mapeamento de dados — conhecidos que seguem se espalhando em redes com sistemas desatualizados, principalmente aqueles que não instalaram o patch lançado há quatro anos. Ainda há o uso de técnicas de propagação ligadas ao ransomworm, característica que ajuda a espalhar essa ameaça em massa na rede.

A renovação que esses ataques tornou os perigos mais direcionados por uma série de fatores. Alguns exemplos chegaram a ser listados pela Kaspersky como claros de como isso se transformou com o tempo.

O primeiro deles é o uso da imprensa para informar os ataques realizados, como é o caso do grupo Darkside, que faz contato com uma central de mídia para conceder informações exclusivas dos ataques. Com maior repercussão, eles acabam por cobrar um pagamento maior pelo “resgate”.

Outro ponto consiste nas parcerias com empresas terceirizadas de descriptografia, o que evidencia a metodologia, visto que muitas vítimas não conseguem entrar em negociações com os bandidos. Existem grupos que dizem fazer doações para caridade, com o foco em apresentar que não querem financiar o cibercrime.

Os cibercriminosos agora analisam os dados roubados com cuidado e o mercado de atuação das vítimas. Assim, antes de tornar algo público, procuram maximizar os prejuízos da vítima casos consigam detectar clientes, parceiros e concorrentes conhecidos. “Porém sabemos que nem sempre essas regras são respeitadas”, ressalta a Kaspersky.

Para completar, afirmam ter um próprio código de ética, como jamais atacar empresas médicas, serviços funerários, instituições educacionais, organizações sem fins lucrativos ou empresas do governo.

Há uma série de medidas recomendadas pela Kaspersky para se proteger de sequestro das suas informações pessoais. Uma delas é instalar apenas aplicativos obtidos de fontes confiáveis por sites oficiais. Outra consiste em realizar backup frequentemente, com cópias de seus arquivos armazenadas tanto em local físico como na nuvem, para aumentar a confiabilidade.

Caso você possua uma empresa, treine os seus funcionários para que todos tenham consciência sobre quais são as boas práticas de cibersegurança. Mantenha seus dispositivos sempre atualizados com todas as correções de segurança disponíveis e realize uma auditoria de cibersegurança em sua rede, a fim de consertar todos os pontos fracos descobertos no perímetro ou dentro da própria rede.

Procure ativar a proteção contra ransomware em todos os terminais, com o objetivo de proteger os aparelhos dessa vulnerabilidade. Para completar, saiba que o ataque de ransomware é crime. Desta maneira, caso seja vítima, não pague o resgate, e sim denuncie o incidente às autoridades.

Você já foi vítima de ransomware ou conhece alguém que teve seus dados sequestrados? Como foi a solução do caso? Relate a experiência para a gente no espaço abaixo.