Ransomwares seguem ativos na internet!

Vou mostrar quem são e como atuam os grupos hackers especializados em ransomwares, que invadem, roubam e danificam o patrimônio digital alheio.


| Se você apoia nosso site, desative o AdBlock quando visitá-lo, inclusive em Mobile!
Os anúncios são poucos e não invasivos. Se quiser contribuir com nosso trabalho, clique em qualquer banner de sua preferência, exceto dos Parceiros. 
Mais detalhes clicando aqui.


NOTA DA LINUX UNIVERSE

Diversos aspectos deste artigo foram censurados e/ou valores alterados propositalmente devido à natureza sensível das informações aqui apresentadas, sendo que nosso intuito não é incentivar atividades criminosas e nem divulgar as informações sensíveis vazadas pelos casos citados abaixo.

Não divulgamos links de acesso de quaisquer natureza referentes aos dados vazados referenciados nesta publicação! E porquanto, não vamos divulgar os sites oficiais dos grupos hackers aqui citados, que por mais que sejam públicos, seria um incentivo indireto às suas práticas nefastas por colaboração indireta à divulgação e exposição do que vazou.

Nosso objetivo é informar sobre situações que podem ocorrer na internet, trazer exemplos reais de ataques que foram bem sucedidos com o objetivo de desmistificar situações, esclarecer determinados aspectos de atuações dos grupos que criam malwares e que nossos leitores fiquem mais bem informados e preparados para não cair em tais golpes!

1. Ransomware

Tirando a dúvida imediata, o que é um ransomware? São um tipo de malware. E Malware, por sua vez a quem também não sabia, é resultado da combinação das palavras inglesas “malicious” e “software”. O termo malware, portanto, abrange todo software malicioso que pode ser perigoso para o seu computador, o famigerado “vírus de computador”, qualquer um deles.

Mas o que torna o ransomware tão especial? O malware ganhou os holofotes já a algum tempo e o motivo está no seu próprio nome, a palavra “ransom” – termo inglês para resgate – já diz tudo: Ransomware é um software de extorsão, que pode bloquear o seu computador e depois exigir um resgate para desbloqueá-lo, mas podem tomar outras formas e ações a depender da variante.

2. Tipos

Como mencionado acima, a ameaça representada pelos ransomwares depende da variante do vírus. A primeira coisa a ser considerada é que existem duas categorias principais de ransomware com uma variação delas: ransomware de bloqueio e  ransomware de criptografia, sendo que ambos podem ser para roubo de dados.

Eles podem ser diferenciados da seguinte maneira:

  • Ransomware de bloqueio: neste caso as funções básicas do computador são afetadas, deixando o sistema inoperante.
    O maior objetivo aqui é causar danos financeiros por downtime, ou seja, inatividade do sistema utilizado. Exemplos críticos desse tipo de ataque são servidores que hospedam e-commerce, redes hospitalares ou mesmo sistemas metroviários.
  • Ransomware de criptografia: neste caso os arquivos individuais são criptografados.
    O maior objetivo aqui é simplesmente aplicar uma criptografia sobre os dados do usuário e exigir um resgate. Exemplos críticos são o WannaCry que fez uma série de vítimas a alguns anos criptografando documentos e imagens de empresas com pastas compartilhadas na rede local, em suma aquelas que fazem uso do Active Directory & Domain Controllers tanto em Windows Server quanto em Linux Server.

Mais recentemente surgiu uma pequena variação dos primeiros dois casos. Seria:

  • Ransomware de roubo: Além do mal causado por essas pragas virtuais, os ransomwares podem simplesmente copiar parte dos seus dados, aqueles que o vírus considerar mais importantes, e enviar para a nuvem dos criminosos. Após isso, o que há na máquina pode ser bloqueado e/ou criptografado.

2.1 Remediando

Um ataque de ransomware dificilmente tem “cura”, porque os arquivos são criptografados usando o algoritmo de criptografia simétrica AES-256 e uma biblioteca OpenSSL incorporada no próprio binário do ransomware. No entanto, a própria chave AES é criptografada pelo autor do malware usando uma chave pública RSA também codificada dentro do binário.

Por outro lado, a chave privada é mantida pelo autor do malware, uma abordagem que permite implantar o ransomware sem a necessidade de um servidor C2 para obter a chave de criptografia. Dessa forma, o criminoso pode criar facilmente um binário de ransomware com uma chave pública exclusiva.

É por isso que quando um novo ransomware é detectado circulando na internet é preciso cautela, avaliar qual a cepa dessa infecção e se há uma chave pública dela disponível ou não para reverter os danos.

Temos sites como o NoMoreRansom que objetivam publicar as chaves para a maior quantidade possível de ransomwares e evitar danos maiores, mas infelizmente nem todas as chaves são públicas – até o momento – e muitos dados sequestrados se tornam absolutamente irrecuperáveis.

3. Prevenção

Devido à natureza complexa de um ataque desses, um dos melhores meios de enfrentar um ransomware é com uma prevenção. Já citei aqui no site uma listinha com 40 dicas para reforçar a segurança de seu sistema linux, porém, a baixo custo, o melhor meio de se ter garantia de integridade dos seus dados com backups é com o esquema 3-2-1e suas variantes – que são essencialmente:

  • Tenha 3 cópias dos dados.
    Sistemas RAID são desaconselhados se pois os discos ficam espelhados e um ataque destrói os dados de todos.
    Se utilizar RAID, opte por algo que permita cópias incrementais nela.
  • Em pelo menos 2 tipos de mídias diferentes.
    Pode ser com pendrive, bluray, fita, um HD Externo utilizado esporadicamente, o importante é pensar que no momento do ataque o malware não pode encontrar, acessar e/ou gravar nesses dispositivos para reduzir os riscos.
  • E ao menos 1 nuvem, pois nuvens costumam ter bons métodos para preservar versões mais antigas de um mesmo arquivo. Caso o ransomware ataque a nuvem também – e já testemunhei isso! – por lá costumam ter mais métodos para voltar versões anteriores e restaurar o que foi perdido.

Eu pessoalmente gosto de, quando são 2 discos, deixar um como principal e o outro para backup incremental por um aplicativo externo que faça essa ponte, como o rsnapshot, rsync ou rclone, sem expôr os dados do backup de forma alguma para nenhuma rede ou outros usuários.

No momento do ataque, se o servidor por si não for infectado, mas sim apenas as pastas compartilhadas na rede, então há uma chance menor de se perder os dados do disco 2 que está oculto aos olhos do malware. A nuvem aqui é um reforço para o caso de esse método falhar por qualquer motivo.

4. Grupos Hackers

Vamos falar o bom português – cheio de estrangeirismos – que há companhias especializadas em f… a vida alheia!

Uma das responsáveis por ataques recentes que vieram à tona foi a companhia “rhysida” que opera na DarkWeb: eles criam ransomwares da cepa rhysida e fazem questão de divulgar em seu site as vítimas e o nível dos danos. A seguir alguns casos recentes.

4.1 Caso Insomniac Games

Esse caso foi o vazamento de dados da Insomniac Games, onde dados de relatórios da Sony e partes do código fonte de games como Wolverine e Spider Man 2, dentre outros documentos da companhia, vazaram na internet.

Não houve apenas o vazamento dos dados, mas também a criptografia de parte deles lá no escritório da empresa.

Sim, eles conseguiram +1 Tb de dados incluindo códigos fontes, documentos, sendo um dos, senão o, pior vazamento de dados da indústria dos games – e provavelmente da indústria global. Isso permitiu que surgissem na internet gameplays de jogos que em tese só deveriam existir daqui 2 ou 3 anos, estavam em plena produção!

4.2 Caso da UFMS

A Universidade Federal do Mato Grosso do Sul informou em Outubro de 2023 que teve dados de alunos vazados, incluindo:

  • Certificados de currículo;
  • Fotocópia autenticada em cartório do histórico escolar e diploma de graduação;
  • Certidão de nascimento ou casamento;
  • Título de eleitor e comprovante de quitação com a Justiça Eleitoral;
  • Documento de identificação oficial (RG, CPF, CNH, passaporte, RNE, dentre outros);
  • Foto 3/4 recente;
  • Anteprojeto de pesquisa;
  • Comprovante original de pagamento da taxa de inscrição;
  • Comprovante de Inscrição Assinado;
  • Dados pessoais coletados pelos sistemas de compartilhamento de arquivo;
  • Cadastro para contato;
  • Comprovação de identidade e de condição social.

E claro que a rhysida também fez questão de assumir a autoria:

O mais surreal é que, até a data desta postagem, está tudo público para quem sabe qual é o site, sem requerer um login ou um token. Eles também praticam leilões dos dados, só retirando do ar do site quando algo já teve uma venda confirmada, o que assegura “exclusividade” no conteúdo na mão de quem pagar mais.

4.3 Pagamentos?

É de consenso que NÃO se deve jamais contactar os hackers para fazer o pagamento e tentar resgatar os dados dessa forma!

Por mais que seja desesperador e muitas vezes o pagamento torna o resgate bem-sucedido, há casos aonde os criminosos recebem o pagamento mas não liberam as chaves de acesso aos dados, deixando a empresa sem dados e sem dinheiro.

Além disso, se mais companhias pagam os criminosos, mais lucrativo o negócio se torna, fomentando mais ataques e piorando cada dia mais a navegabilidade da nossa internet como um todo. Se há tantos ataques de ransomware, é porque lucrativo deve ser! – Tem quem faça por pura diversão mas eu não penso que seja a maioria.

5. Expectativas para 2024

De acordo com a WatchGuard, as cepas e grupos hackers que devem se destacar este ano são os detectados pela primeira vez em 2023 e cujos websites oficiais seguem no ar com novos ataques registrados eventualmente pelos próprios autores, objetivando glorificar seus atos:

  • Alpha Locker
  • CiphBit
  • DragonForce
  • Dunghill Leak
  • Hunters International
  • Malek Team
  • Meow Leaks
  • Money Message
  • RA Group
  • O já citado Rhysida
  • Slug
  • ThreeAM
  • Underground

Isso, que não citei os mais antigos que ainda estão na ativa!

6. Conclusão

Quanto aos ataques de ransomware, infelizmente não há muito o que reclamar, como qualquer outro malware seguem as dicas de sempre:

No Windows, cuidado aonde navega, mantenha seu sistema atualizado, se possível use filtros de URL’s, para pegar sites maliciosos, como este, evite abrir portas de firewall desnecessárias, cuidado com add-ons de navegador, tenha um bom anti-vírus na máquina.

Se for Linux, valem as mesmas dicas acima, além de conferir a origem dos pacotes que baixar e se as hashs dos repositórios continuam válidas. Tudo bem que “virus em linux é igual filhote de pombo, a gente sabe que existe mas nunca viu” porém é bom tomar cuidado! Há virus de Linux circulando por ai conforme já noticiei aqui antes.

Fontes:
Definição de ransomware
DearCry

Deixe um comentário