O ransomware está se tornando uma das ameaças cibernéticas mais agressivas e rentáveis e, infelizmente, o Brasil está entre os principais alvos desses ataques. Ele está entre os cinco países mais afetados por esse ataque em 2024, respondendo 1,8% dos mais de 3,5 milhões de casos em registro nos quatro primeiros meses do ano.
Evoluindo ao longo do tempo, ele está gerando tipos diferentes, cada um com características e táticas específicas. É importante conhecê-los para que as pessoas e organizações tenham uma melhor prevenção e preparação.
Neste texto, você vai aprender sobre quais são os principais tipos de ransomware, quais foram os piores ataques da história e como a ManageEngine pode te ajudar. Continue lendo para saber mais!
O que é ransomware?
O termo refere-se a um tipo de malware cujo nome é derivado das palavras “ransom” (resgate) e “ware” (abreviação de software). Esse software malicioso criptografa os arquivos de um sistema, tornando-os inacessíveis ao usuário. Em seguida, o hacker exige um pagamento em troca de uma chave de descriptografia para restaurar o acesso aos dados.
Como funcionam esses ataques?
Eles geralmente começam com a infecção de um sistema por meio de e-mails de phishing, downloads maliciosos ou pela exploração de vulnerabilidades em softwares desatualizados. Uma vez que o ransomware entra no sistema, ele rapidamente se espalha e inicia a criptografia dos arquivos, tornando-os inacessíveis.
Após a criptografia, uma mensagem de resgate aparece na tela do usuário, informando que os arquivos só serão desbloqueados mediante o pagamento de um valor. Esse valor costuma ser alto e muitos pedem resgate em criptomoedas, por ser mais difícil de rastrear o pagamento depois.
Esse tipo de ataque pode ser direcionado a indivíduos, mas muitas vezes tem como alvo organizações que possuem dados sensíveis, aumentando a chance de pagamento devido à importância da recuperação dos dados.
Quais são os tipos de ransomware?
Apesar dos tipos de criptografia e de bloqueio serem os mais conhecidos, novos tipos estão sendo criados. Confira os mais comuns abaixo:
1 – Ransomware de criptografia
Esse é o mais comum e perigoso, porque bloqueia o acesso aos arquivos da vítima através da criptografia, deixando os dados ilegíveis sem a chave de desencriptação, que somente os invasores possuem. Os dados permanecem no dispositivo da vítima, mas estão inacessíveis até que o resgate seja pago.
Exemplo: CryptoLocker, um dos primeiros a ganhar notoriedade por usar criptografia forte para bloquear arquivos, exigia pagamento em Bitcoin para liberá-los.
2 – Ransomware de bloqueio
Em vez de se preocupar em criptografar arquivos, esse tipo bloqueia o usuário fora do dispositivo completamente, impedindo o acesso ao sistema. Também conhecido como locker ransomware, seu objetivo é forçar o pagamento para restabelecer o controle do computador, sendo especialmente prejudicial para usuários que não têm backups acessíveis dos dados.
Apesar de parecer menos grave do que o de criptografia, ele pode ser muito eficaz em enganar usuários e fazê-los pagar rapidamente para recuperar o acesso.
Exemplo: Reveton e o WinLock, que mostravam mensagens falsas de autoridades policiais, acusando o usuário de atividades ilegais e exigindo o pagamento de uma “multa” para desbloquear o sistema.
3 – Ransomware de dupla extorsão
Esse tipo adiciona uma segunda camada de ameaça ao processo. Além de criptografar os dados da vítima, ele também copia e extrai informações confidenciais, ameaçando vazá-las publicamente se o resgate não for pago.
Essa técnica aumenta a pressão sobre a vítima, especialmente para empresas que lidam com informações sensíveis de clientes, e pode causar danos irreparáveis à reputação.
Exemplo: Maze, que usou a técnica de dupla extorsão em 2019, introduzindo a prática de roubo de dados para ameaçar as vítimas. Esse ataque inspirou outros grupos a adotar estratégias semelhantes, popularizou a dupla extorsão e aumentou os danos potenciais de um ataque.
4 – Ransomware como serviço (RaaS)
É um modelo em que os desenvolvedores de ransomware vendem ou alugam o software para outros criminosos, que podem então realizar os ataques.
Exemplo: LockBit, uma das variantes mais populares desse modelo. Ele costuma se propagar por meio de e-mails de phishing. Um aspecto notável é que o grupo por trás do LockBit chegou a tentar recrutar afiliados que trabalhavam nas próprias empresas-alvo, buscando facilitar a infiltração nos sistemas dessas organizações.
5 – Ransomware móvel
O aumento do uso de dispositivos móveis abre brechas para novas ameaças cibernéticas. Nesse tipo de ataque, os hackers desenvolveram variantes desse software malicioso para atacar smartphones e tablets. Ele bloqueia o dispositivo móvel ou criptografa dados, exigindo um pagamento para que o usuário recupere o acesso.
Exemplo: Svpeng, um malware de ransomware para Android que bloqueia o dispositivo e mostra uma mensagem de resgate.
6 – Scareware
Scareware não é exatamente um ransomware no sentido tradicional, mas utiliza técnicas semelhantes para assustar a vítima. Ele exibe mensagens falsas informando que o sistema está infectado e precisa de uma solução imediata, normalmente solicitando o pagamento para “remover” a suposta ameaça.
Esse tipo de ataque é mais comum em dispositivos pessoais e se baseia no medo para pressionar a vítima a pagar. Ele costuma ser mais simples de remover do que os outros tipos, mas ainda pode ser muito lucrativo para os atacantes.
Exemplo: Rogue AV, que exibia mensagens de que o sistema estava comprometido e oferecia uma solução paga para “corrigir” o problema.
3 piores ataques ransomwares da história
Ao longo da história, muitos ataques desse segmento foram realizados. No entanto, uns causaram mais danos e ficaram famosos por causa disso. Saiba mais abaixo:
ExPetr/NotPetya
Em 2017, o ExPetr, também chamado de NotPetya, causou uma onda de ataques em escala global, gerando interrupções e prejuízos. Esse ataque não tinha o objetivo de extorquir dinheiro, mas sim de causar danos massivos. Embora direcionado inicialmente à Ucrânia, o ataque foi tão eficiente que rapidamente ultrapassou suas fronteiras.
Logo se descobriu que o NotPetya era, na verdade, um wiper malware projetado para apagar dados – disfarçado de ransomware. Ele atacava sistemas Windows, explorando a vulnerabilidade Server Message Block (SMB), conhecida como EternalBlue.
Esse wiper se propagava rapidamente, criptografando o setor de inicialização mestre (MBR) e tornando os sistemas afetados incapazes de inicializar. Dentro de uma rede, ele utilizava diversos métodos para capturar credenciais e se espalhar lateralmente.
Estima-se que o prejuízo total causado pelo NotPetya tenha alcançado cerca de US$10 bilhões, tornando-o um dos ataques mais caros da história.
WannaCry
Também em 2017, o WannaCry se espalhou por 150 países, comprometendo mais de 200.000 computadores. Estimativas iniciais calculavam o prejuízo em cerca de US$4 bilhões, enquanto alguns analistas sugeriram que as perdas futuras só nos EUA poderiam ultrapassar US$7 trilhões.
O impacto do WannaCry foi especialmente forte devido à sua forma de disseminação e às falhas exploradas. Ele, assim como o ExPetr, também aproveitou uma vulnerabilidade crítica no protocolo SMB da Microsoft.
Como típico ransomware de criptografia, o objetivo desse ataque era criptografar os arquivos no computador da vítima, tornando-os inacessíveis. Após a criptografia, uma mensagem de resgate era exibida, informando o usuário sobre a necessidade de um pagamento em Bitcoin para obter a chave de descriptografia. O valor inicial era de US$300, sendo dobrado caso o pagamento não fosse feito em até três dias.
Ao infectar um sistema, o WannaCry se comportava como um worm, movendo-se lateralmente pelas redes e se espalhando automaticamente sem intervenção do usuário. Isso permitiu sua propagação em larga escala global, causando interrupções em infraestruturas críticas, como serviços de saúde, setor financeiro, logística e redes de transporte.
GandCrab
Lançado em 2018, o GandCrab rapidamente se destacou como um dos ransomwares mais disseminados e lucrativos. O diferencial dele estava em seu modelo de RaaS, no qual o malware era licenciado para afiliados que realizavam os ataques e dividiam uma porcentagem dos lucros com os desenvolvedores do GandCrab.
Ele era amplamente disseminado por e-mails de phishing e kits de exploit, como os kits GrandSoft e RIG. Ao infectar o sistema de uma vítima, o GandCrab criptografava os arquivos e exigia o pagamento de um resgate em criptomoeda Dash para a liberação dos dados.
Como prevenir os ataques de ransomware?
Proteger sua infraestrutura contra ataques de ransomware exige uma abordagem proativa, com a implementação de práticas de segurança robustas. A segmentação de rede, por exemplo, limita a propagação do malware ao dividir a rede em zonas isoladas.
O uso de sistemas EDR (Endpoint Detection and Response) ajuda a monitorar e responder em tempo real a atividades suspeitas nos endpoints. A autenticação multifatorial (MFA) adiciona uma camada extra de segurança, dificultando o acesso de atacantes mesmo que tenham obtido credenciais.
Além disso, o monitoramento contínuo de logs permite detectar e responder rapidamente a incidentes, enquanto ferramentas de SIEM automatizam a análise de eventos críticos. Essas práticas, quando implementadas de forma integrada, ajudam a prevenir e mitigar ataques de ransomware, garantindo uma resposta eficaz a qualquer ameaça.
Como a ManageEngine ajuda a sua organização a se proteger contra o ransomware?
Na ManageEngine, oferecemos soluções SIEM (Security Information and Event Management) que desempenham um papel essencial na proteção contra ataques de ransomware, oferecendo uma abordagem proativa e abrangente para detectar e responder a atividades suspeitas.
Por exemplo, o EventLog Analyzer é uma ferramenta de análise de logs e geração de relatórios de segurança. Ele coleta e analisa logs em tempo real, rastreando atividades suspeitas, como tentativas de login falhas, modificações em massa de arquivos e acessos anômalos. Esses eventos são comuns em ataques de ransomware e podem desencadear alertas imediatos para que a equipe de segurança reaja rapidamente.
Também temos o Log360, uma solução SIEM robusta que integra o EventLog Analyzer com outras funcionalidades de segurança, como gestão de identidade e controle de acesso.
Essa solução também permite a integração com outras ferramentas de segurança para resposta automatizada. Em caso de ataque, ele pode isolar dispositivos comprometidos, restringir acessos e bloquear endereços IP suspeitos, reduzindo a propagação do ransomware.
Também, o Log360 potencializa as capacidades de EDR e XDR. Ele coleta e analisa de forma detalhada os logs de segurança gerados pelos endpoints, monitorando constantemente atividades como alterações de arquivos, execuções de processos e comportamento dos usuários.
Além disso, ele integra dados de diversas fontes, como redes, servidores, e-mails e cargas de trabalho na nuvem, proporcionando uma visão multicanal e correlação avançada, recursos fundamentais para uma abordagem XDR eficaz.
Adicionalmente, oferecemos o Endpoint Central, uma plataforma unificada para gerenciamento e segurança de endpoints, incluindo desktops, servidores e dispositivos móveis.
Ele tem o módulo anti-ransomware que protege empresas ao monitorar e bloquear atividades suspeitas em tempo real nos endpoints. Ele detecta rapidamente comportamentos típicos desse ataque, como criptografia em massa de arquivos, e interrompe esses processos antes que o ataque se espalhe. O módulo também permite que as equipes de TI isolem dispositivos comprometidos para evitar a propagação do ransomware pela rede.
Se interessou? Saiba mais no nosso site!
Conclusão
O ransomware é uma ameaça complexa e, como vimos, está evoluindo e sendo multiplicada em novos tipos, adaptando-se às novas tecnologias. Entender os principais tipos ajuda tanto indivíduos quanto organizações a se protegerem e responderem de forma mais rápida e eficaz caso um ataque ocorra.
A prevenção continua sendo a melhor defesa contra ransomware, e contar com ferramentas de cibersegurança robustas, como as da ManageEngine, é essencial para manter as empresas e instituições governamentais seguras.
