O que é o ransomware e como reagir a este ciberataque

Das várias modalidades que existem, uma das que mais está se proliferando é o ransomware ou sequestro de dados, já que pode ser lucrativo para os ciberdelinquentes. Estes focam particularmente em empresas, que já têm nesta extorsão uma de suas maiores ameaças, mas o risco já não está só nas grandes corporações, empresas ou instituições, mas nas mais vulneráveis. Entre 2019 e 2020, mais de 600 povoados, cidades e condados dos EUA sofreram ataques de ransomware que obrigaram a fechar hospitais, departamentos de polícia e outros serviços públicos.

O ransomware é um tipo de software malicioso que se apropria da informação que contém o dispositivo ao qual infecta, encriptando-a e impedindo o acesso do seu proprietário. Para recuperar o controle desses dados, os ciberdelinquentes pedem um resgate (ransom em inglês, o termo que originou o seu nome). Uma vez infectado, o usuário costuma ver uma nota na tela (nota de resgate) em que o informam de que seus arquivos foram sequestrados e detalham como os liberar, geralmente através de um pagamento em moedas digitais, o que o transforma em um delito difícil de rastrear.

O ransomware chega a um dispositivo pelas mesmas vias que outros programas de malware. A mais comum continua sendo o phishing, principalmente ao descarregar um arquivo anexo de um e-mail, e outras armadilhas como clicar em um link ou instalar um aplicativo a que se deu uma aparência normal. Além do phishing, podem infectar um dispositivo com ataques através de provedores quando o objetivo for uma empresa, ou mediante o roubo de credenciais. A melhor maneira de evitar este e outros vírus é que os usuários sejam conscientes desta ameaça e fiquem atentos ao estarem conectados, permanecendo alerta com o e-mail ou em páginas webs desconhecidas, e realizar cópias de segurança, que podem ser um salva-vidas para repor uma intrusão de ransomware.

As vítimas do sequestro de dados são tanto pessoas particulares como empresas. Inclusive chegaram a atacar sistemas governamentais, buscando sempre o lucro econômico. As organizações são mais propensas a terminar pagando o resgate, porque enquanto seus dados se encontram encriptados, sua capacidade operacional pode ser muito afetada ou paralisada. O alvo preferido dos atacantes cibernéticos são as pequenas e médias empresas, em geral pior preparadas que empresas de maior volume e com sistemas de segurança mais fracos.

A realidade mostra que muitas das vítimas terminam pagando o resgate (até 50-60% das empresas que o sofrem, segundo o Instituto Nacional de Cibersegurança espanhol, INCIBE), mas é um erro fazer isso. Esta organização lembra que não se deve aceitar a extorsão porque:

• Pagar não é garantia de recuperar o controle dos dados, não se deve esquecer que os que os sequestram são delinquentes.
• Quem realiza o pagamento transforma-se em um alvo mais vulnerável, porque os cibercriminosos já sabem que estão dispostos a isso.
• Depois de pagar, é possível que lhe solicitem um resgate maior. De fato, as estatísticas a respeito mostram que é uma prática habitual.
• Aceitar a extorsão alimenta o negócio dos ciberdelinquentes.

Apesar de que ceder à chantagem e pagar o resgate não ser uma boa opção, por razões tanto práticas como morais, existe todo um debate no mundo sobre como se deve regular este assunto. Muitos países já avançaram em legislações que proíbem o pagamento aos ciberdelinquentes, mas os especialistas acreditam que esta medida não é efetiva para pôr fim a esta prática, que continua acontecendo por outras vias, com uma enorme dificuldade para traçar o rastro do dinheiro porque este se movimenta em criptomoedas.

Para encontrar uma resposta rápida após um ataque de ransomware, pode ser muito útil a página www.nomoreransom.com, criada por várias polícias nacionais e grandes empresas de segurança informática. Funciona como uma base de dados para as diferentes variantes de ransomware que vão se conhecendo, e se atualiza constantemente. Com a ajuda de um assistente pode identificar-se que tipo de ataque se sofreu, e, se existe uma solução, a página oferece ferramentas e instruções para desbloquear a informação sequestrada.

Mas os próprios responsáveis pelo projeto contam que não é um instrumento infalível, porque na luta contra o sequestro de dados a maior dificuldade reside na permanente evolução das armas dos cibercriminosos. Por isso, os especialistas policiais e da cibersegurança dão ênfase para a prevenção. O surgimento de novas variantes de malware e ransomware faz com que nenhum antivírus ou sistema de segurança tenha uma garantia de 100%, e obriga, principalmente às empresas, a não perder de vista às ciberameaças como um de seus grandes riscos.

Na prevenção do ransomware, também é fundamental a realização de cópias de segurança que sejam guardadas de forma isolada. E é que, uma vez infectado um dispositivo, uma das poucas formas efetivas de recuperar-se do ataque sem ter de recorrer ao pagamento do resgate é restaurar os dados no mesmo disco rígido formatado, ou em um novo. É provável que não se recuperem todos os dados, mas ao menos pode continuar-se com a atividade do dispositivo ou a empresa.

Estes são alguns conselhos para saber como reagir em um primeiro momento, mas a melhor opção sempre será contar com profissionais.

60% das PMEs que sofre um ciberataque grave tem de fechar 6 meses depois. Já não é só o impacto direto e a perda reputacional, há outros danos econômicos, como a interrupção do negócio ou os processos de conserto dos equipamentos, que significa um custo relevante especialmente para os negócios menores. É um risco que se pode proteger mediante seguros especializados em cibersegurança, que não só servem para oferecer uma compensação econômica pelas perdas causadas. Também intervêm desde o primeiro momento e põem à disposição do segurado um serviço de especialistas informáticos para solucionar o incidente, que podem acessar aos sistemas, recuperar dados e eliminar software malicioso, entre outras ações. Se o ataque produziu danos a terceiros (clientes e prestadores, por exemplo) o ciberseguro também responderá, assim como pela perda de rendimentos que se tenha podido sofrer durante o ataque.

Além da parte técnica, as seguradoras podem encarregar-se de questões legais, como o cumprimento do regulamento de proteção de dados, que obriga a comunicar às autoridades qualquer roubo que tenha afetado dados de terceiros. De maneira preventiva, também podem proporcionar uma análise das vulnerabilidades da rede de uma empresa, e incluir serviços como antivírus e outros softwares de segurança.

ARTIGOS RELACIONADOS: