08 mar Ransomware destaca a história: de AIDS Trojan a Locky
Os ataques de ransomware não são uma falsa ameaça – eles são reais e estão aumentando dia após dia. Os insights abaixo sobre a história do ransomware, vão lhe ajudar a entender a evolução das suas estratégias de distribuição e extorsão, e ficar melhor preparado caso você se torne uma vítima desses ataques.
O ransomware, locker ou cripto-malware, estão por aí já faz um bom tempo – décadas para falar a verdade. Originalmente, o ransomware era uma inconveniência e um truque, mas hoje em dia ele é considerado diferente e apresenta uma ameaça muito mais sofisticada aos sistemas e usuários.
Acreditamos que o início da história do ransomware foi o AIDS Trojan, também conhecido como PC Cyborg Trojan, desenvolvido pelo Dr. Joseph Popp, um biólogo evolucionista. A primeira geração do ransomware não era tão sofisticada e era facilmente derrotada. Era distribuída através de disquetes, a forma original do storage removível (caso você seja muito novo para saber o que era um disquete). O ransomware foi usado em uma conferência sobre AIDS em Montreal — 20.000 cópias no total. O malware do Popp escondia arquivos no computador da vítima e criptografava os nomes antes de exigir (ou extorquir) US$ 189 por uma ferramenta de reparos.
Quase trinta anos depois, o ransomware é uma ameaça muito mais insidiosa. Como parte dos malwares, sua capacidade e efetividade aumentou exponencialmente, assim como o número de meios que alguém pode ser infectado. Criminosos virtuais se tornaram mais habilidosos ao lançar suas campanhas de ransomware, usando plataformas de Ransomware como Serviço para gerar milhões de dólares em cada ataque.
2000-2005: Ferramentas falsas de antivírus e de remoção de spyware
Antivírus falsos, ferramentas falsas de remoção de spyware e de aumento do desempenho do PC eram a maior preocupação e foram desenvolvidas para enganar as vítimas e fazer com que pagassem por um reparo, correção ou solução para o problema anunciado. Essa simples forma de extorsão começou a aparecer nas telas dos computadores por volta de 2005, mas não bloqueava ou criptografava dados igual aos malwares atuais. Porém, para os criminosos virtuais, o mercado de aplicações enganosas provou o conceito e o modelo de negócio do ransomware dos dias de hoje. O antivírus falso foi tão bem-sucedido em enganar os usuários a pagarem por um “reparo” para seus “problemas” que em 2008, uma distribuidora de malware relatou ganhos de US$ 158.000 em uma semana.
2006-2011: Primeiros Trojans de criptografia
O Achievus Trojan foi um dos primeiros ransomwares a utilizar criptografia RSA “assimétrica” para criptografar os arquivos na pasta Meus Documentos dos usuários, após isso, era exigido das vítimas compras em uma farmácia on-line para poder receber uma chave de decodificação de 30 caracteres e ter acesso aos seus arquivos. No mesmo ano, os e-mails viraram a ferramenta de distribuição do ransomware. Foi ali que vimos o nascimento dos cripto-malwares que encontramos atualmente.
Entre 2006 e 2011, o Trojan de criptografia GPcode se espalhou via um anexo de e-mail que se dizia ser de uma candidatura de emprego. Malwares de bloqueio como o Winlock ou Ransomlock, que simplesmente bloqueavam seu computador até uma taxa ser paga, também ficaram populares nessa época.
Em 2011 tivemos o primeiro ataque de ransomware em larga escala, que se passava por um aviso de Ativação de um Produto Windows, onde um grande número de usuários foi enganado. Esse ataque foi auxiliado pela existência e ubiquidade de novas formas de pagamento anônimas. Formas que tornaram muito mais fácil para os hackers e criminosos virtuais, receberem os pagamentos das vítimas sem serem rastreados. A primeira rede de Ransomware como Serviço apareceu no mercado de cibercrimes em 2012. O novo e sofisticado kit de ferramentas Citadel permitiu que aspirantes a hackers e criminosos virtuais, criassem, instalassem e gerenciassem um botnet e um ransomware associado com taxas inferiores a US$ 50.
2013-2014: CryptoLocker
2013 foi um ano importante para os criminosos virtuais e hackers, pois lançaram vários novos tipos de ransomware e muito mais sofisticados. O CryptoLocker era a bola da vez, e vimos a primeira utilização do método de pagamento como moeda virtual através do Bitcoin. O CryptoLocker foi facilmente distribuído por downloads automáticos de sites maliciosos ou afetados e anexos nocivos de e-mails. Nos e-mails, também surgiu uma nova tática: falso conteúdo social, projetado para parecer cartas de reclamação de clientes, faturas ou alertas de contas, encorajando o destinatário a abrir um anexo. Nesse mesmo ano, outros dispositivos e sistemas operacionais começaram a ser afetados também. Smartphones executando Android foram os alvos, assim como computadores Mac que executavam o sistema operacional OSX.
Em 2014, ransomwares como CryptoDefence, CryptoWall, Koler (AndroidOS) e outros baseados em CryptoLocker, começaram a infectar mais vítimas. Entretanto, os mocinhos tiveram uma vitória, uma equipe internacional de policiais e especialistas em segurança conseguiram acabar com o botnet que controlava a maior parte do tráfego de ransomware do mundo. O Gameover ZeuS, ou GoZ, era um botnet composto por mais de um milhão de endpoints infectados, que contribuíam significativamente para o volume global do tráfego de ransomware. Quando ficou off-line, houve um breve declínio no tráfego, mas isso foi momentâneo.
2015: CryptoWall
O CryptoWall entrou rapidamente em cena, já que o CryptoLocker ficou off-line. Ele se tornou um dos ransomwares mais lucrativos e bem-sucedidos até hoje. É sabido que, quando o CryptoWall 2.0 foi exterminado, levou apenas 48 horas para os desenvolvedores criarem o CryptoWall 3.0 a partir de um código base completamente novo. É impressionante, mesmo com intenções nefastas, temos que admitir. O ano de 2015 também nos trouxe o CryptoWall 4.0, TorrentLocker, TeslaCrypt, Lowlevel04, LockerPin e muitos outros. Em resposta a essa “nova” ameaça, um Agente Especial do FBI disse; “O ransomware é eficiente mesmo. Para ser sincero, geralmente aconselhamos as pessoas a pagarem o resgate.” Desde então, o FBI forneceu conselhos mais adequados.
2016: Ransom32 e Ransomware como Serviço
O Ransom32 foi um novo e interessante ransomware que usava JavaScript, diferente de qualquer outra base de dados já vista antes. Distribuído por uma rede de Ransomware como Serviço, o Ransom32 tinha a capacidade de suportar não só o JavaScript, mas também HTML e CSS.
2016 também passou pelo retorno de macros de documentos do Office como um mecanismo de distribuição de malwares. Sem ocorrências nos últimos quinze anos, de repente, esses arquivos do Microsoft Office (como Excel e Word) começaram a ser usados para burlar serviços e produtos de segurança tradicionais. O Locky é o melhor exemplo disso e foi distribuído pela rede Dridex usando campanhas de phishing que enviavam documentos maliciosos do Word para suas vítimas. Uma vez que o anexo fosse aberto e o macro ativado, o ransomware era baixado pelo macro no computador da vítima.
O ransomware Petya de 2016 foi o primeiro ransomware a criptografar um disco rígido inteiro, evitando que o sistema inicializasse ao sobrescrever o MBR (Master Boot Record).
2017: Petya, WannaCry e o resto da galera
Jaff, Cerber, Sage, Mamba, Petya, NotPetya e, sem dúvidas, o mais bem-sucedido — WannaCry. 2017 foi um ano e tanto. O WannaCry foi o ransomware que você viu nas notícias por ter derrubado partes críticas da infraestrutura de empresas de telecomunicações e o Serviço Nacional de Saúde do Reino Unido. 2017 foi um ano decisivo para os ransomwares também. O Petya e o WannaCrya foram feitos para se aproveitarem de vulnerabilidades desconhecidas anteriormente e informações vazadas de organizações governamentais dos EUA pelo grupo de hackers Shadow Brokers. A ferramenta chamada EternalBlue aproveitava uma falha no protocolo SMB da Microsoft (CVE-2017-0144) para permitir que os invasores executassem um código arbitrário no computador da vítima.
Até o Locky retornou em 2017, com uma campanha que emitiu cerca de 23 milhões de e-mails em apenas 24 horas.
Conclusão
2017 está provando ser o ano mais bem-sucedido na história do ransomware até agora, e devido à quantidade de dinheiro que os criadores desses malwares conseguem ganhar, é difícil conseguir ver um fim para este problema. O ransomware vai continuar causando muitos problemas no futuro, exigindo que empresas de todos os tamanhos tomem medidas confiáveis de proteção e prevenção. Mantenha seus dados seguros e fique ligado!