Segurança e Cidadania

Por Daniel Barbosa*

Essa perigosa ameaça habilita pessoas comuns a poderem extorquir suas vítimas sem necessariamente ter o conhecimento técnico para isso

Durante o primeiro semestre de 2021, a América Latina representou 21,58% do total global de ataques, sendo o Brasil o país mais afetado na região. Entre as detecções de incidentes de ransomware no mundo, se compararmos o primeiro semestre de 2021, o Brasil teve um aumento de 856% em relação ao mesmo período do ano passado.

Se o ransomware em si já é perigoso, pense nele potencializado por meio de um modelo de negócios em constante expansão que os cibercriminosos estão disponibilizando: o Ransomware as a Service (RaaS). O novo serviço ilícito é baseado no modelo de negócios lícito de Software as a Service (SaaS).

O RaaS permite a venda de kits para que os cibercriminosos, sem habilidade ou tempo para desenvolver a própria variante de ransomware, consigam utilizar um de forma rápida e acessível. Eles são fáceis de encontrar na dark web e são anunciados de forma banal, da mesma maneira que um produto comum é divulgado na internet que temos acesso diariamente.

Um kit RaaS pode incluir suporte 24 horas por dia, 7 dias por semana, ofertas em pacote, análises de usuários, fóruns e outros recursos idênticos aos oferecidos por provedores de SaaS legítimos. O preço dos kits RaaS varia de US$ 40 por mês a vários milhares de dólares – valores triviais, considerando que existem ataques que geram resgates em torno de US$ 6 milhões. Ou seja, um agente de ameaças não precisa que todos os ataques sejam bem-sucedidos para ficar rico. Existem quatro modelos de receita RaaS comuns:

  • Assinatura mensal por uma taxa fixa;
  • Programas de afiliados, que são os mesmos que um modelo de taxa mensal, mas com uma porcentagem dos lucros (normalmente 20-30%) indo para o desenvolvedor do ransomware;
  • Taxa de licença única sem participação nos lucros;
  • Pura participação nos lucros.

As operadoras de RaaS mais sofisticadas oferecem portais que permitem que seus assinantes vejam o status de infecções, pagamentos totais, arquivos totais criptografados e outras informações sobre seus alvos. Um afiliado pode simplesmente entrar no portal RaaS, criar uma conta, pagar com Bitcoin, inserir detalhes sobre o tipo de malware que deseja criar e enviá-lo. Os assinantes podem ter acesso a suporte, comunidades, documentação, atualizações de recursos e outros benefícios iguais aos recebidos pelos assinantes de produtos SaaS legítimos.

O mercado RaaS é competitivo. Além dos portais RaaS, os operadores executam campanhas de marketing e possuem sites que se parecem exatamente com as campanhas e sites da sua própria empresa. Eles têm vídeos, whitepapers e são ativos no Twitter.

Ransomware: você não deve pagar o resgate

Pagar ou não por um resgate de ransomware sempre é uma decisão muito difícil de ser tomada. Se você fizer um pagamento, estará confiando que os cibercriminosos cumprirão sua promessa de fornecer uma chave de descriptografia – o que pode não ocorrer, além de incentivar que esta prática continue a ser exercida.

As operações de cibercriminosos são inerentemente amorais, e não é confiável que os indivíduos terão suas redes e conteúdos de volta como prometido. Na verdade, muitos afiliados de RaaS não perdem tempo fornecendo chaves de descriptografia para todas as vítimas pagantes, pois o tempo pode ser mais bem gasto procurando novos alvos. Como um pagamento de resgate nunca garante a descriptografia dos dados apreendidos, os especialistas em segurança da informação como um todo desencorajam fortemente o pagamento de valores.

Prevenindo ataques de RaaS

A recuperação de um ataque de ransomware é difícil, custa caro e, por isso, é melhor evitá-los completamente. As etapas para prevenir um ataque de RaaS são as mesmas que para impedir qualquer ataque de sequestro de dados, porque o RaaS é apenas um malware empacotado para facilitar o uso por qualquer pessoa mal intencionada.

É importante implementar uma proteção de endpoint confiável e moderna, que funcione em algoritmos avançados e trabalhe automaticamente em segundo plano 24 horas por dia. Além disso, deve-se testar os backups da empresa regularmente para garantir que eles possam ser utilizados para recuperação quando necessário.

Outros pontos relevantes no combate a estas ameaças é manter um programa de atualização de patches rigoroso para se proteger contra vulnerabilidades conhecidas e também implementar proteção antiphishing avançada.

Por último, mas não menos importante: invista em treinamentos de usuários para sua empresa, além de construir uma cultura de segurança. Deixar a cibersegurança na mão de poucos funcionários não é muito interessante, pois limita a solução que deveria ser de conhecimento geral em um negócio. Em momentos de necessidade, como um ataque de ransomware, o alerta deve permitir que todos consigam auxiliar na contenção de vazamentos e na criação de um ambiente corporativo mais seguro.

____
*Especialista em segurança da informação da ESET.

Compartilhe