definição de ransomware

O ransomware é um tipo de software malicioso que extorque as vítimas ao cifrar ficheiros nos seus dispositivos e exigir um pagamento para os desbloquear. Estes ataques tornaram-se uma ameaça de grande relevo no panorama global da cibersegurança, visam os particulares, as empresas, os organismos públicos e as infraestruturas críticas. Os atacantes exigem habitualmente pagamentos em criptomoedas como bitcoin, difíceis de rastrear e que proporcionam anonimato relativo. Nos últimos anos, os ataques de ransomware aumentaram de forma significativa, tanto em número como em complexidade, provocando danos económicos avultados e interrupções nas operações empresariais.

Contexto: Qual a origem do ransomware?

O conceito de ransomware surgiu em 1989, quando o programa "AIDS Trojan" (também conhecido como PC Cyborg) foi considerado o primeiro exemplo deste tipo de ameaça. Esta versão inicial era distribuída por disquetes, cifrava os nomes dos ficheiros nos computadores e exigia às vítimas o pagamento de uma "taxa de licença" de 189 $ à "PC Cyborg Corporation".

Ao longo dos anos, o ransomware evoluiu em várias fases:

1. As primeiras variantes de ransomware baseavam-se em técnicas simples de bloqueio do ecrã, sem cifrar ficheiros
2. Cerca de 2006, surgiu o crypto-ransomware, recorrendo a técnicas de cifragem de ficheiros mais avançadas
3. Em 2013, o aparecimento do CryptoLocker marcou o início da era moderna do ransomware, com encriptação RSA robusta
4. Em 2017, ataques globais como WannaCry e NotPetya elevaram o ransomware a uma nova dimensão
5. Nos últimos anos, surgiram táticas de "dupla extorsão", em que os atacantes não só cifram dados, mas também ameaçam divulgar informação sensível roubada

Mecanismo de funcionamento: Como atua o ransomware?

O ataque de ransomware decorre, geralmente, nas seguintes fases:

1. Infeção inicial:

• Através de anexos ou hiperligações maliciosas em emails de phishing
• Exploração de vulnerabilidades em sistemas ou software (como a EternalBlue utilizada no WannaCry)
• Publicidade maliciosa ou websites comprometidos
• Dispositivos externos infetados ou partilhas de rede

2. Instalação e execução:

• Após comprometer o sistema, o ransomware tenta obter privilégios elevados
• Pode criar mecanismos de persistência para garantir a execução após reinícios
• Certas variantes desativam software de segurança, opções de recuperação ou eliminam cópias de segurança

3. Cifragem de ficheiros:

• Analisa o sistema para identificar ficheiros-alvo (documentos, imagens, bases de dados, etc.)
• Utiliza algoritmos de cifragem avançados (como AES, RSA) para cifrar os ficheiros
• Emprega, normalmente, esquemas híbridos: chaves simétricas cifram os ficheiros, sendo depois estas cifradas com uma chave pública
• Altera as extensões dos ficheiros cifrados para os identificar

4. Pedido de resgate:

• Apresenta a mensagem de resgate, normalmente com instruções de pagamento e prazos definidos
• Indica métodos de pagamento (geralmente criptomoeda) e canais de contacto
• Pode demonstrar a recuperação de ficheiros para comprovar a capacidade de descifrar

Quais os riscos e desafios do ransomware?

Os riscos e desafios associados aos ataques de ransomware incluem:

1. Riscos técnicos:

• Mesmo após o pagamento, não existe garantia de recuperação integral dos dados
• Certas variantes apresentam falhas que tornam os ficheiros irrecuperáveis
• O malware pode deixar portas traseiras nos sistemas, facilitando ataques futuros

2. Impacto económico:

• Custo dos pagamentos de resgate
• Perdas de receita resultantes da interrupção da atividade
• Despesas com recuperação de sistemas e reforço da segurança
• Possíveis litígios e coimas regulatórias
• Impacto reputacional com consequências a longo prazo

3. Desafios de conformidade e legais:

• O pagamento de resgates a cibercriminosos pode ser ilegal em algumas jurisdições
• Quebras de dados podem violar regulamentos de proteção de dados como o RGPD ou o CCPA
• Instituições financeiras e infraestruturas críticas enfrentam requisitos e responsabilidades regulatórias específicas

4. Evolução tática:

• Os atacantes aprimoram continuamente as técnicas, dificultando a defesa
• Modelos Ransomware-as-a-Service (RaaS) reduzem a barreira de entrada para novos atacantes
• Táticas de extorsão múltipla que combinam ameaças de violação de dados aumentam significativamente a pressão sobre as vítimas

O ransomware representa uma ameaça em constante evolução para a cibersegurança, impondo desafios críticos a particulares, organizações e à sociedade. O combate eficaz a esta ameaça exige estratégias de defesa em várias camadas, incluindo cópias de segurança regulares, formação em segurança, atualização de sistemas e planeamento de resposta a incidentes. À medida que os ataques se tornam mais sofisticados, a cooperação internacional para combater redes de cibercrime e desenvolver tecnologias defensivas avançadas torna-se cada vez mais crucial. O pagamento de resgates não é recomendado por especialistas em segurança, pois não garante a recuperação dos dados e incentiva a atividade criminosa, alimentando novos ataques. As autoridades policiais internacionais e as empresas de cibersegurança intensificam a cooperação para desmantelar a infraestrutura de ransomware e responsabilizar os autores.