Um hacker assumiu o controle de uma rede de computadores na Agência Municipal de Transportes de São Francisco em novembro. No dia seguinte ao Dia de Ação de Graças, relata a Popular Mechanics, os quiosques de venda de passagens no metrô de São Francisco ficaram offline quando as telas da agência exibiram: “Você hackeou, TODOS os dados criptografados. Entre em contato para a chave ( [email protected] ) ID:681, Enter.” O hacker naquele endereço disse que a chave de descriptografia custaria 100 bitcoins , ou cerca de US$ 73.000, entregue até terça-feira. E acontece que a coisa mais surpreendente sobre esse incidente é que isso não aconteceu antes.
É difícil obter números precisos sobre ataques cibernéticos, pois eles dependem de se disfarçar, mas os dados disponíveis para ransomware pintam um quadro sombrio. Um estudo de junho de 2016 da Malwarebytes, empresa de pesquisa e segurança da Osterman, descobriu que 47% das empresas americanas – empresas, hospitais, escolas, agências governamentais – foram infectadas com ransomware pelo menos uma vez no ano anterior. Entre os entrevistados do Reino Unido, 12% foram atingidos pelo menos seis vezes. Globalmente, 37% das organizações pagaram.
Os usuários domésticos podem estar em situação ainda pior. Dos mais de 2,3 milhões de usuários dos produtos de segurança da Kaspersky Labs que encontraram ransomware entre abril de 2015 e março de 2016, quase 87% estavam em casa. Nenhuma palavra sobre quantos pagaram, mas com resgates em média de algumas centenas de dólares e rendimentos de ransomware estimados em US $ 209 milhões nos primeiros três meses de 2016, provavelmente foram alguns.
A maior coisa em malware
“O ransomware foi promovido de uma das muitas técnicas usadas pelos invasores para uma das ferramentas mais eficazes em sua caixa de ferramentas”, escreve Andrew Howard, diretor de tecnologia da Kudelski Security , em um e-mail. “É um tanto surpreendente para mim que tenha levado os invasores até agora para alavancar esse tipo de técnica.”
“Outros tipos de malware ainda são comuns”, escreve Howard, “mas eles não têm os benefícios financeiros do ransomware”.
Os ataques são brilhantemente simples: um usuário de computador se apaixona por um e-mail de phishing ou tropeça em uma página da Web corrompida e um software malicioso é baixado. Ele criptografa (ou bloqueia o acesso) aos arquivos do computador e a infecção se espalha desse computador para qualquer outro computador conectado a ele. O hacker se anuncia, fornece um método de contato e promete a chave de descriptografia em troca de pagamento, normalmente em uma “criptomoeda” digital como Bitcoin ou MoneyPak, que é mais difícil de rastrear do que dinheiro .
O grande volume de ataques é impressionante. A Segurança Interna dos EUA estima uma média de 4.000 por dia em 2016, um aumento de 300% em relação ao ano anterior.
Joe Opacki, vice-presidente de pesquisa de ameaças da PhishLabs , diz que o ransomware “transformou a forma como os cibercriminosos ganham dinheiro”.
“Em vez de roubar dados e vendê-los ou alugar botnets para outros cibercriminosos, o ransomware oferece pagamento direto”, escreve Opacki em um e-mail. “Você infecta um computador e a vítima lhe paga. Sem passos adicionais, sem intermediários tomando sua parte...”
Este não é um conceito novo. As primeiras versões do esquema datam de 1989 , quando hackers distribuíram o Cavalo de Tróia AIDS por meio de correio tradicional por meio de disquetes infectados. O programa, que se acredita fazer parte de um esquema global de extorsão, criptografava parte do diretório raiz de um PC.
Esse pioneiro do malware foi rapidamente derrotado. Mas décadas ajustaram os métodos de entrega e criptografia.
Ransomware feito corretamente
Nolen Scaife, estudante de doutorado em sistemas de informação da Universidade da Flórida (UF) e assistente de pesquisa do Instituto de Pesquisa de Segurança Cibernética da Flórida , diz que o ransomware é um adversário difícil.
“Defender-se contra esse tipo de ataque é tremendamente difícil, e só agora estamos começando a ver defesas plausíveis para ransomware”, escreve Scaife.
Os ataques de ransomware “diferem um pouco cada vez que ocorrem”, explica ele, tornando-os difíceis de detectar e desabilitar. Para complicar ainda mais, a atividade de ransomware em um sistema pode se assemelhar a ações legítimas que um administrador pode realizar.
A equipe de Scaife na UF desenvolveu um programa de detecção de ransomware chamado CryptoDrop , que “tenta detectar o processo de criptografia do ransomware e pará-lo”. Quanto menos dados o malware puder criptografar, menos tempo será gasto na restauração de arquivos do backup.
Mas reverter a criptografia é uma história diferente. De acordo com Scaife, um ransomware bem projetado pode ser inquebrável.
“A confiabilidade de uma boa criptografia feita corretamente e o aumento da criptomoeda criaram uma tempestade perfeita para o ransomware”, escreve Scaife em um e-mail. “Quando o ransomware é criado corretamente e se não houver backups [de dados], a única maneira de recuperar os arquivos da vítima é pagar o resgate.”
O Hollywood Presbyterian Medical Center em Los Angeles resistiu por quase duas semanas antes de pagar 40 bitcoins (cerca de US$ 17.000) para descriptografar seus sistemas de comunicação em fevereiro de 2016. O hacker nunca teve acesso aos registros dos pacientes, relata Seung Lee, da Newsweek, mas a equipe estava preenchendo formulários e atualização de registros com lápis e papel por 13 dias.
Em março, o ransomware atingiu redes em mais três hospitais dos EUA e um em Ottawa, Ontário; e outro hospital de Ontário teve seu site invadido para infectar seus visitantes com o malware.
Ataques direcionados
Os hospitais são vítimas perfeitas, disse o especialista em segurança Jérôme Segura à CBC News . "Seus sistemas estão desatualizados, eles têm muitas informações confidenciais e arquivos de pacientes. Se eles ficarem bloqueados, eles não podem simplesmente ignorá-los."
O mesmo com a aplicação da lei. Pelo menos um dos cinco departamentos de polícia do Maine atingidos por ransomware em 2015 estava executando o DOS, disse o chefe à NBC .
Os departamentos de polícia são alvos populares. E embora a ironia da situação não passe despercebida, a polícia tem a mesma probabilidade de pagar como qualquer outra pessoa. Um chefe de polícia de New Hampshire que não aguentou teve uma ideia brilhante: ele pagou o resgate , pegou a chave e cancelou o pagamento; mas quando seu departamento foi atingido novamente dois dias depois, ele simplesmente desembolsou os 500 dólares.
Um distrito escolar na Carolina do Sul pagou US$ 8.500 em fevereiro de 2016. A Universidade de Calgary pagou US$ 16.000 em junho, explicando que não poderia correr riscos com a “pesquisa de classe mundial” armazenada em suas redes. Em novembro, algumas semanas antes da invasão do trilho leve, um condado de Indiana pagou US$ 21.000 para recuperar o acesso aos sistemas de seus departamentos de polícia e bombeiros , entre outras agências.
Relatórios sobre o ataque Light Rail sugerem uma abordagem incomum. Parece que o ransomware foi lançado de dentro do sistema. Opacki diz que o hacker parece ter explorado “uma vulnerabilidade conhecida no software WebLogic da Oracle...
Uma vez lá dentro, o hacker introduziu o ransomware.
“Mas a maioria dos ataques de ransomware não acontece dessa maneira”, escreve Opacki. Normalmente, a vulnerabilidade está nas pessoas, não no software.
“É desanimador”
“Como regra geral”, observa Opacki, “as pessoas superestimam sua capacidade de detectar um golpe de phishing”.
De fato, um estudo de 2016 descobriu que 30% das pessoas abrem e-mails de phishing e 13% delas clicam no anexo ou link.
“Muitas pessoas ainda pensam que os ataques de phishing são e-mails de spam mal projetados, repletos de problemas de ortografia e inglês incorreto. Em seguida, eles tentam abrir uma planilha de 'folha de pagamento de funcionários' que acreditam que o RH os enviou por engano”, escreve Opacki.
O phishing percorreu um longo caminho desde que os príncipes nigerianos precisavam de nossa ajuda com seu dinheiro. Muitos e-mails são personalizados, usando detalhes reais sobre possíveis vítimas, muitas vezes obtidos de postagens nas mídias sociais.
Na experiência de Andrew Howard, da Kudelski, “nas organizações mais preocupadas com a segurança... 3 a 5 por cento dos funcionários são enganados mesmo pelos golpes de phishing mais mal concebidos. Os números em organizações menos preocupadas com a segurança, ou com golpes mais sofisticados, são muito piores.”
“É bastante desanimador”, acrescenta.
No entanto, o aumento impressionante de ataques de ransomware nos últimos anos tem menos a ver com credulidade, ou mesmo um ótimo design de malware, do que com facilidade. Executar um golpe de ransomware é tão complexo quanto assaltar alguém na rua, mas muito menos arriscado.
Hackeando para idiotas
Não há muita habilidade envolvida no ransomware, de acordo com Nolen Scaife. O software não é tão sofisticado. Os hackers podem criá-lo rapidamente e implantá-lo com sucesso sem muito esforço.
Mais importante, porém, os hackers não precisam criar o ransomware para implantá-lo. Eles nem precisam saber como criá-lo.
A maioria das pessoas que executam golpes de ransomware comprou o software no submundo da internet conhecido como dark web , onde os desenvolvedores de ransomware vendem inúmeras variantes em mercados de malware em expansão. Ele vem como aplicativos completos, geralmente completos com atendimento ao cliente e suporte técnico para ajudar os golpes a funcionarem sem problemas.
“Suporte e serviço”, escreve Dan Turkel no Business Insider, “são particularmente importantes para vendedores cujo mercado é composto por hackers relativamente inexperientes que podem precisar de algum grau de apoio” .
Alguns produtos vêm com garantias de devolução do dinheiro, escreve Turkel. Muitos oferecem serviços de chamada ou e-mail que orientam as vítimas derrotadas por meio de pagamento e descriptografia, para que o hacker não precise lidar com isso. Pelo menos uma família de ransomware fornece esse “atendimento ao cliente” via chat ao vivo.
O mercado de ransomware é tão robusto que os desenvolvedores estão empregando distribuidores para vender seus produtos.
Nada disso é um bom presságio para quem não está executando o golpe. De acordo com todos os especialistas em segurança cibernética em todos os lugares, todos devemos fazer backup de nossas coisas. Sem backups, pagar o resgate pode ser a única opção se quisermos ver nossos dados novamente.
E mesmo assim, ainda podemos não nos reunir com nossos dados. Um estudo da Trend Micro descobriu que 20% das empresas do Reino Unido que pagaram resgates em 2016 nunca receberam uma chave.
A agência de trânsito de São Francisco não pagou nada. Um porta-voz disse à Fortune que a agência nunca considerou isso. Os sistemas foram restaurados a partir de backups, com a maioria novamente online em dois dias. Enquanto isso, os franciscanos usavam o metrô de graça.
Dois dias depois, hackers invadiram a conta de e-mail do hacker light-rail, revelando cerca de US$ 100.000 em pagamentos de ransomware desde agosto.
Agora isso é conveniente
Alguns hackers de ransomware aceitam cartões-presente da Amazon.
