Entenda a psicologia por trás do ransomware

No fim de 2015, as Previsões de Segurança da Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – nomearam 2016 como o ano das extorsões on-line. Desde então, vários casos de sequestros de informações on-line aconteceram, gerando o ransomware. 

A Trend Micro desenhou a psicologia por trás do ransomware e descobriu que ele é dividido em etapas. Sua operação é simples: basta encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou arquivos críticos dentro dele e forçar a vítima a pagar o resgate. Ao longo dos anos, o ransomware se desenvolveu se tornando uma ameaça cibernética eficaz que não só assusta possíveis vítimas com uma tela bloqueada, mas como um malware que conhece os pontos fracos de seus alvos.

As primeiras variantes do ransomware se aproveitaram do medo de suas vítimas por meio de Cavalos de Troia (como o Reveton), fingindo ser alertas legítimos de violações de leis federais para enganar os usuários, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware, que sequestrava os dados das vítimas.

Cibercriminosos que usam o ransomware dobram esforços para expandir efetivamente seu alcance. Iscas de engenharia social continuam a funcionar mas agora em um escopo maior.

Em maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de emails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de e-mail amazon.com e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.

No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.

Resgate
Para o pagamento do resgate, os desenvolvedores de ransomware criaram uma série de maneiras para convencer os usuários de que pagar o resgate é a melhor opção.

Em abril, surgiu um novo tipo de ransomware chamado Jigsaw, que tem esse nome inspirado na franquia de filmes, Saw ou Jogos Mortais em português. O método de extorsão envolve um cronômetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$ 150 – e assim recuperar o acesso aos arquivos criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de arquivos criptografados é apagado.

O Jigsaw mostra a direção que os chantagistas estão tomando hoje em dia – um ataque claro e evidente contra a psique da vítima.

Alvos preferidos
Nos últimos meses, vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de usuários individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como ele pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias.

Quando surgiu a notícia de uma “situação de emergência interna” que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC), o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas.

A rede e sistemas de computador do hospital, inclusive os que envolviam tomografias computadorizadas, exames de laboratório, farmacêuticos e documentação ficaram fora do ar por mais de uma semana, fazendo com que os funcionários voltassem ao uso de papel e caneta. Esse incidente também causou impacto nos sistemas de salas de emergência, obrigando-os a transferir pacientes para outros hospitais.

Segundo a Trend Micro até hoje, 50 novas famílias de ransomware já foram vistas apenas nos primeiros cinco meses de 2016. O mais alarmante é o fato de que a ameaça ainda continua crescendo – em número e nível de eficácia.

Como evitar?

A Trend Micro, lista abaixo passos simples para prevenir-se e antecipar de ataques via ransomware:

• Evite abrir e-mails não verificados ou clicar em links incorporados neles;

• Faça backup de arquivos importantes usando a regra do 3,2,1: crie três backups em duas mídias diferentes com um backup em um local separado;

• Regularmente atualize o software para proteger contra as vulnerabilidades mais recentes.