10 perguntas sobre o ransomware que afetou milhares de empresas

Pouco mais de um mês após o ransomware WannaCry afetar diversas empresas em todo o mundo, inclusive no Brasil, outro ataque semelhante na última semana colocou novamente em risco informações de organizações. O ransomware é conhecido como o “malware sequestrador”, no qual os cibercriminosos roubam informações em troca do pagamento de resgate.

Camillo Di Jorge, presidente da Eset Brasil, comenta que o ataque da semana passada e o estrago provocado por ele deixou claro que muitas corporações ainda tinham sistemas desatualizados, falta de soluções de segurança e plano de contingência, mesmo com outros ataques semelhantes recentes. “O que demonstra que muitas organizações ainda não estão preparadas para lidar com os riscos associados a ambientes de negócio cada vez mais virtuais”, diz.

Confira abaixo as principais dúvidas sobre esse tipo de ataque respondidas pelos especialistas da Eset.

1. Quais as características deste ransomware?
Ele se diferencia por três aspectos diferentes. O primeiro se refere à questão da encriptação – o ransomware não só encripta arquivos de uma extensão específica, mas sim o MBR (Master Boot Record), que é o registro mestre de inicialização do computador. Outro ponto é sobre a propagação, já que pode utilizar diversas técnicas diferentes para infectar novas máquinas. Por fim, outra característica é a questão da exploração da vulnerabilidade de equipamentos que estejam desatualizados, deixando brechas para a infecção.

2. Ele é tão poderoso quanto o WannaCryptor?
Na verdade, os dois possuem o mesmo impacto já que impedem o acesso à informação armazenada no sistema. De qualquer maneira, este novo ataque encripta a informação que está nos equipamentos, e assim que é reiniciado, o sistema operacional fica inutilizável e as vítimas são obrigadas a reinstalá-lo.

3. O que exatamente faz esta ameaça?
Logo que o ransomware é executado, ele cria uma tarefa programada para reiniciar o computador em até uma hora. Enquanto isso verifica se existem pastas ou discos compartilhados para se propagar. Em seguida começa a cifrar arquivos de determinadas extensões. Diferente da maioria dos ransomware, este código malicioso não acrescenta ou modifica a extensão para identificar os arquivos infectados. Por fim, o malware tentará eliminar os registros de eventos para não deixar nenhum rastro e ocultar suas ações.

4. Como avança de um país para outro? Chegou ao Brasil?
A propagação é justamente uma das características desta ameaça. Uma vez que a máquina foi infectada, ele tenta extrair os dados do usuário e utiliza comandos PsExec e WMIC para buscar pastas e discos compartilhados para se propagar pela rede que o equipamento está conectado. Assim, consegue se espalhar para outras regiões e países. Ele chegou ao Brasil e a América Latina por meio de empresas multinacionais conectadas com filiais europeias e asiáticas.

5. O que pode ser feito para evitar o ataque?
É imprescindível contar com uma solução de antivírus, e que esta esteja corretamente configurada. A rede deve estar configurada e segmentada corretamente. Monitore constantemente o tráfego para detectar algum comportamento anormal. As informações mais relevantes devem estar mapeadas e possuírem uma cópia para que seja fácil fazer a restauração em caso de um ataque. Outro ponto importante é sobre senhas. É fundamental que haja uma gestão, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede.

6. Se já fui infectado, o que faço?
É possível utilizar técnicas forenses para tentar utilizar outro sistema operacional na memória e desta forma recuperar os arquivos encriptados. Porém, não há muito a ser feito além de aplicar o backup, a única maneira de evitar a reinstalação do sistema operacional. Em último caso, se não tiver backup, os cibercriminosos sempre solicitam resgate. A Eset não recomenda o pagamento, já que estimula a continuidade deste tipo de ataque.

7. Como os cibercriminosos estão agindo? Esperam um resgate?
O processo para recuperar a informação é o mesmo dos demais ataques similares, uma vez infectado, o ransomware envia as instruções de pagamento em bitcoins (equivalente a US$ 300).

8. Por que o sequestro de dados está tão comum?
Um dos motivos deste tipo de ataque ainda ser comum é a falta de conscientização e nível de segurança de muitos usuários e empresas. Muitos ainda desconhecem o impacto de um ciberataque como este até se tornar uma vítima, e se ver obrigado a pagar o resgate. Isso mantem os cibercriminosos motivados a continuar com este tipo de ataque e a desenvolver novas ameaças.

9. O ataque é organizado por um grupo? É necessário conhecimento profundo de tecnologia?
É difícil imaginar que apenas uma pessoa esteja por trás desses atos, já que a ameaça incorpora várias técnicas de exploração, propagação e encriptação para tentar burlar sistemas de segurança. Entretanto, não é possível afirmar quantas pessoas estão envolvidas em ataques desta magnitude.

10. É possível saber quem são os cibercriminosos?
Ainda não é possível identificar os cibercriminosos por trás dos ataques. Diferente de um botnet, por exemplo, não existe um centro de controle que se conecte com a ameaça e que permita este tipo de identificação. Provavelmente utilizaram TOR e um servidor anônimo no ataque, a fim evitarem a identificação. Por outro lado, o pagamento do resgate é feito por bitcoins, criptomoeda que também torna praticamente impossível o rastreamento do destino final.