Principais ransomware em atividade
Nos últimos anos houve um aumento significativo de ataques ransomware visando não apenas empresas como também pessoas. Há uma infinidade de empresas que tiveram os servidores bloqueados algum tipo de ransomware.
Esse crescimento se deu pelo surgimento das criptomoedas, não que antes dela não houvesse ataques hackers, as criptomoedas só deixou mais seguro os recebimento dos resgate para os hackers, por ela ser praticamente impossível de ser rastreada.
E o que dava muita força para esse ataques, era que a recuperação era praticamente impossível sem que o pagamento do resgate fosse feito.
Apenas as empresas que tinham um backup atualizado e que não foi atingido pelo ransomware poderiam restaurar os seus arquivos sem o pagamento do resgate. O problema é que muitas empresas não mantêm uma rotina de backup recorrente, e só descobrem isso quando é tarde demais.
Há alguns anos atrás surgiram algumas empresas que desenvolveram tecnologias que conseguiam recuperar arquivos encriptados por ransomware mesmo sem a chave de decriptação.
Entre essas empresas estão algumas brasileiras, entre as que têm tomado o protagonismo nesse mercado estão a Digital Recovery e a PhD Recovery. Essa informação ainda é pouco divulgada, mas com a empresa certa é possível recuperar os arquivos encriptados sem pagar o resgate para os criminosos.
Pela falta de empresas capazes de recuperar arquivos encriptados, os ataques se tornaram cada vez mais sofisticados e ousados. Vamos ver os principais ransomware que agem, desconsiderando os que atuavam ativamente e encerram a suas atividades, como o Ransomware Darkside e Ransomware REvil Sodinokibi.
- LockBit 2.0 – Esse ransomware possui a encriptação mais rápida dos ransomware em atividade, isso praticamente impossibilita qualquer contra medida do sistema. Após ele invadir o sistema operacional em questão de minutos os dados são encriptados. Esse ransomware foi o responsável pelo ataque recente à empresa Benner Sistemas, empresa brasileira especializada em software para gestão empresarial.
- BlackMatter – Esse ransomware é o mais recente da lista, sua primeira aparição foi no final de Julho de 2021, e desde lá os seus ataques têm sido constantes, os seus principais alvos são os Estados Unidos e Europa. Mas não se restringe apenas a eles, diferentemente de alguns ransomware, ele não possui países restritos para o ataques.
- Ryuk – Desde 2018 esse ransomware aparece na listas dos ransomwares mais perigosos do mundo, e ele ocupa três posições entre os 10 maiores resgates pedidos após ataques. Ele foi responsável por um ataque a uma gráfica que produz os jornais do New York Times e Wall Street Journal que paralisou a impressão dos seus jornais.
- Ransom EXX – Os ataques desse ransomware se direciona principalmente ao Brasil e América Latina. Ele foi o ransomware usado para invadir os servidores do STJ (Superior Tribunal de Justiça) e também o TJ-PE (Tribunal de Justiça de Pernambuco).
- PYSA – A onda de ataques desse ransomware subiu de tal forma que o FBI lançou um aviso flash alertando sobre o aumento dos ataques do PYSA direcionado às escolas americanas e inglesas.
A terceirização dos ataques ajudou no aumento dos casos, esse serviço é conhecido como RaaS (Ransomware as a Service). Os programas maliciosos são vendidos nos fóruns da dark web, esse tipo de estratégia tem se espalhado.
Mas, há também uma nova tática está surgindo, o aliciamento dos funcionários de grandes empresas que em troca de uma comissão cedem os acessos empresariais para os hackers, facilitando assim a invasão aos sistemas vitais da empresa. Esse tipo de tática é altamente danosa para as empresas e altamente lucrativa para os cibercriminosos, que talvez, não conseguiriam invadir os servidores da empresa sem uma colaboração interna.
O que fazer após identificar o ataque ransomware
Segundo a Digital Recovery, empresa especializada em recuperar ransomware.
“Em 15% dos ataques ocorridos no ano de 2020, os administradores conseguiram interromper o processo de propagação, mesmo após a invasão ser bem sucedida, evitando assim um estrago maior no ambiente.”
Isso mostra que os ransomware são altamente sofisticados para evitar a maioria dos antivírus, essa proporção de ataques bem sucedidos mostra que o melhor a fazer é se “fechar todas as portas” para que o ransomware não encontre nenhuma brecha no sistema para invadir.
Segunda a PhD Recovery algumas atitudes podem facilitar os ataques ransomware, elas são:
- Firewall desatualizado
- Porta aberta para acesso remoto ao sistema
- Cliques em sites maliciosos
- Baixar programas crackeados
- Inserir uma mídia externa com origem desconhecida
- Sistema operacional desatualizado
Todos esses cuidados devem ser tomados para dificultar que o ataque ransomware seja bem sucedido. Mas ainda que após todos esses cuidados o ataque for bem sucedido, existem empresas capazes de recuperar dados encriptados por ransomware, como a Digital Recovery e a PhD Recovery.