Você conhece a evolução do ransomware? Esse ataque tem sido uma ameaça proeminente para grandes organizações. Não é difícil encontrar notícias de empresas que perderam quantias (na casa dos milhões) para os cibercriminosos por causa do ransomware.

Neste artigo, examinamos a evolução do ransomware desde seu primeiro ataque documentado em 1989 até os dias atuais. Discutiremos, em detalhes, alguns dos ataques e variantes de ransomware mais significativos. Finalmente, vamos dar uma olhada em onde o ransomware está indo em 2018 e além.

Dos “bons e velhos tempos” aos primeiros ataques

Nos “bons e velhos tempos”, as vítimas de ransomware eram predominantemente espectadores casuais. Os criminosos cibernéticos lançavam spams por toda parte, na esperança de encontrar pelo menos um usuário com arquivos importantes em seu computador que abrisse o anexo malicioso.

Mas a situação foi mudando no metade dos anos 2000. Segundo pesquisa da Trend Micro, as primeiras infecções de ransomware em empresas aconteceram entre 2005 e 2006. Nessa época, as listas aleatórias de spammers foram substituídas por endereços especialmente colhidos de funcionários de grandes organizações.

Os perpetradores haviam claramente descoberto que atacar as empresas era mais lucrativo. O conteúdo da mensagem também mudava: em vez de disfarçar de correspondência pessoal, as mensagens agora pareciam vir de parceiros, clientes e serviços fiscais.

Os primeiros ataques, registrados na Rússia, usavam compressão de dados para impedir o acesso a arquivos protegidos por senhas. Em troca de readquirir o acesso aos dados, a empresa deveria pagar uma quantia que inicialmente era de cerca de US $ 300. 

Rumo à popularização: o lucro em cima do medo

Avançando alguns anos na evolução do ransomware, o ataque tornou-se cada vez mais sofisticado e impactante. Em 2012, uma palavra se tornou chave para os cibercriminosos: lucro. 

Neste ano, os ataques passaram a usar o artifício de fazer suas mensagens parecerem avisos legais, como se fosse da polícia ou do FBI. Isso gerava medo nas vítimas, as fazendo acreditar que, de alguma forma, infringiram a lei e deviam pagar uma multa para resolver o problema.

Essa estratégia chegou até as plataformas móveis. Em 2015, foi registrado um exemplo de ransomware no Android que exibia uma mensagem de aviso de suposta autoria do FBI.

As amostras em dispositivos móveis tiveram a capacidade de aumentar o preço do resgate com base nas respostas das vítimas — enquanto o valor inicial ficava em US $ 500, os hackers exigiam US $ 1.500 daqueles que tentavam ignorar a mensagem e desbloquear seus dispositivos. 

Evolução do ransomware: a criptografia entra em cena

Seguindo a evolução do ransomware, os cibercriminosos passaram a usar métodos cada vez mais sofisticados para incentivar as vítimas a fazer o pagamento.

Em 2013, surgiram as primeiras amostras de ransomware criptográfico, o ataque que vemos mais comumente hoje. Nesse formato, os crackers instalavam um malware na máquina que chegava por meio de e-mails de phishing para criptografar os dados na rede, impedindo que o usuário os abra sem uma chave de decodificação. Essa só seria fornecida após o pagamento de resgate.

Mas a ameaça não se tratava mais apenas de arquivos criptografados — ela começou a deletar arquivos se as vítimas se recusassem a pagar. Outra novidade foi a introdução das moedas digitais, como o Bitcoin, como forma de pagamento. 

Esse tipo de ransomware era incrivelmente impactante quando se tratava de negócios desprotegidos e despreparados — a eliminação de dados, especialmente sem um plano de recuperação de desastres, poderia significar o colapso da empresa.

Uma ataque cada vez mais global: o WannaCry e Petya

Em 2017, a situação mudou radicalmente. Duas epidemias de larga escala causaram danos para milhões de usuários e mostraram que o ransomware poderia ser usado para outros fins além da extorsão.

O primeiro, o notório WannaCry, foi um pioneiro tecnológico. Este ransomware explorou uma vulnerabilidade chamada EternalBlue, no Windows. Era uma vulnerabilidade que já havia sido corrigida, mas muitas empresas não se preocuparam em instalar o patch. Mas essa não foi nem a metade disso.

O WannaCry não teve sucesso como ransomware. Apesar de infectar centenas de milhares de máquinas, ele rendeu apenas modestas recompensas aos seus criadores. Alguns especialistas começaram a se perguntar se o objetivo era dinheiro, ou se poderia ser sabotagem ou destruição de dados, mas ainda não está claro.

Seguindo o WannaCry, apenas com oito semanas de diferença, veio o Petya, que também aproveitou a mesma vulnerabilidade do Windows, mas tinha um plano de backup no caso de um patch ser instalado.

Sua diferença para outros ransomwares é que, em vez de criptografar arquivo por arquivo, ele impedia o acesso a todo o disco rígido criptografando a tabela de arquivos mestre (MFT) para que o sistema de arquivos se torne ilegível e o Windows não consiga nem iniciar.

Futuro: o que vem a seguir para o ransomware

Falar de um fim para a cyber extorsão pode ser utópico. Na verdade, espera-se que a evolução do ransomware continue, particularmente com o aumento do ransomware como serviço dentro dos mercados clandestinos se tornando mais popular.

Nesse cenário em que o ransomware continua sendo uma ameaça perigosa, empresas e usuários devem proteger seus dados e ativos com soluções de segurança em várias camadas, além de backups robustos.

Para ajudar a espalhar a informação e manter as redes protegidas, compartilhe este conteúdo nas suas redes sociais e informe seus colegas e amigos sobre a evolução do ransomware!