Ransomware, também conhecido como ação de sequestro dos dados, tem se mostrado nos últimos anos como um dos mais ameaçadores riscos em segurança da informação de que a humanidade tem conhecimento.
Em recente pesquisa realizada pela empresa Osteman Research, Inc. em junho de 2016 sobre 165 organizações norte-americanas, canadenses, alemãs e britânicas, quase 50% das empresas sofreram comprometimento de seus dados, provocando o bloqueio de dispositivos informáticos e exigindo valores financeiros com a promessa de devolução do acesso ao usuário a este dispositivo.
Normalmente, os equipamentos informáticos mais afetados por essa ameaça são estações de trabalho e servidores que contenham dados significativos para os negócios. Entretanto, existem relatos de ocorrências de comprometimento de dispositivos como smartphones, smartwatches e atrelados a IoT (Internet of Things), e a primeira prova de conceito desse ataque foi realizada em meados de 2016 sobre termostatos inteligentes, fazendo com que os usuários desses dispositivos fossem submetidos ao frio até o pagamento do resgate. Mais recentemente, em 2017, hóspedes de um hotel austríaco foram surpreendidos por um ransomware que desabilitou o sistema de gestão de fechaduras inteligentes, impossibilitando que hóspedes ingressassem em seus quartos até a realização do pagamento de resgate exigido pelos criminosos.
O ransomware é dividido em duas categorias: os lockers e os cryptoransomwares. Na primeira categoria, os lockers têm como objetivo tornar inacessível o dispositivo afetado, e, na maioria dos casos, a constatação de comprometimento é realizada pela mensagem em uma tela informando a vítima do ocorrido e trazendo as instruções do que a vítima deve fazer para que o usuário volte a ter acesso às funcionalidades do dispositivo afetado. Na segunda categoria, os cryptoransomwares têm como objetivo tornar inacessíveis apenas alguns tipos de arquivos, em geral os que possuem extensões tais como dbf, doc, docx, dwg, jpg, mdb, ppt, pptx, pst, xls, xlsx, entre outras que contenham dados ou informações significativas e essenciais para os usuários. Nesses casos, os algoritmos de criptografia utilizados e respectivos tamanhos de chaves são distintos a cada uma dessas ameaças, podendo-se valer, por exemplo, do uso de cifra de chave assimétrica de algoritmo RSA com 2048 bits somado ao uso de chave simétrica de algoritmo AES com 128 bits.
Através de dados de 2015, fornecidos pela empresa Symantec, ficou constatado que a maior parcela das ameaças é de cryptoransomwares, e os países mais afetados por essa variante são Estados Unidos, Japão, Grã-Bretanha e Itália. Apesar de o Brasil ainda não estar presente nessa lista, tem-se conhecimento do crescente número de empresas, órgãos governamentais e computadores domésticos que são afetados diariamente pelo sequestro de dados, podendo em alguns anos ingressar na lista dos países mais afetados pelo ransomware.
Essas ameaças são conhecidas desde 1989. A primeira denominava-se AIDS e foi criada por Joseph L. Popp, em que o ataque consistia em cifrar arquivos e exigir o pagamento de US$ 189,00. No Brasil, o primeiro ransomware foi criado em 2009 e chamava-se Byteclark. Apesar de esse software não possuir função de criptografia de arquivos, ele impedia o uso de programas específicos no computador afetado. Mais recentemente, o grupo brasileiro denominado TeamXRat criou uma ameaça que visa à realização de ataques em busca de servidores que mantenham o serviço de acesso remoto denominado RDP (Remote Desktop Protocol), onde o ataque ocorre preliminarmente por tentativas de invasão ao servidor, visando à identificação de senha por técnica de força bruta. Uma vez que essa primeira etapa do ataque seja bem-sucedida, o invasor criptografa extensões específicas de arquivos existentes no servidor comprometido (e demais outros em rede, caso ele mantenha o mapeamento de dados em outros servidores).
Nos dias atuais, plataformas operacionais como Windows, Linux, Android e OS X (dispositivos Apple) são atingidos por diversas variantes de ransomware, sendo que o vetor de comprometimento está relacionado ao recebimento de spam (contendo arquivos executáveis como JavaScript), além de sites contendo códigos maliciosos que são acessados em função de uma propaganda (Adware), presente no software utilizado pela vítima. A última forma de comprometimento está relacionada à ação do criminoso em identificar fragilidades ou brechas em sistemas, culminando na infecção do computador ou sistemas (em geral, corporativos ou governamentais).
Os melhores aliados à proteção de seus dispositivos é a conscientização sobre as técnicas e a gravidade que esse tema exige, pois o número de vítimas desse crime vem aumentando rapidamente. A tecnologia que visa à proteção de sistemas deve estar presente, incluindo aquelas que visam a detectar e impedir o comprometimento de dados e sistemas como AntiSpam, antivírus, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), firewall, entre outras. Adotar processos estabelecidos por política de segurança e a execução periódica de backups são ações recomendáveis, sendo que todas essas medidas apenas irão proteger se forem realizadas de forma adequada e reavaliadas periodicamente por profissionais especializados.
Considerando a tendência de evolução do ransomware, é importante que empresas mobilizem equipes e profissionais em segurança da informação com o objetivo de prevenir-se contra as ameaças, estabelecendo medidas de pronta resposta em caso de ocorrência de eventos indesejados sobre sistemas e dados corporativos. Mencionando brevemente a gravidade desse tema, apenas ano passado nos Estados, ocorreram diversos ataques em hospitais, afetando milhares de pacientes e resultando em extorsões na ordem de centenas de milhares de dólares.
E o cenário pode ainda se tornar pior, se consideramos os impactos da ocorrência de ataques sobre sistemas críticos, tais como financeiros, logísticos, de saneamento, de controle de trânsito, aeronáuticos entre outros, onde a população pode se tornar literalmente refém do crime cibernético.