O ano é 1989. “Rain Man” ganha o Oscar de Melhor Filme. A Motorola lança o menor e mais leve telefone do mundo. O Muro de Berlim cai. Taylor Swift nasce. Também começa o amanhecer de uma nova era de extorsão cibernética.
O Trojan da AIDS chegou inofensivamente, distribuído via disquete para profissionais de saúde pública. Mas ele abrigou uma surpresa desagradável. Após a 90ª reinicialização do PC, ele bloqueou criptograficamente os discos rígidos das vítimas, exigindo um pagamento de US$ 189 para desbloquear os arquivos. Embora esse ataque tenha sido facilmente frustrado, ele mudou o jogo. Nos 30 anos seguintes, o ransomware proliferou de curiosidade para uma ameaça catastrófica alimentada por uma corrida armamentista implacável entre extorsionários e equipes de segurança.
Os primeiros dias do ransomware
O Trojan da AIDS provocou intriga global, mas o ransomware se escondeu amplamente como um experimento entre círculos de blackhat de nicho na década seguinte. Os primeiros ataques dependiam de técnicas rudimentares, como bloqueio simples de arquivos, criptografia básica e coleta manual de pagamentos. O alcance permaneceu limitado sem vetores de ataque eficientes.
Então, a internet explodiu em cena. A conectividade global forneceu a infusão vital que o ransomware precisava para se transformar de novidade em ameaça perceptível. A crescente ubiquidade dos sistemas em rede trouxe um influxo de alvos e canais para alcançá-los.
Novos ataques como a cepa Archievus de meados dos anos 2000 — o primeiro ransomware a usar criptografia RSA avançada — refletiam essa evolução, espalhando-se por e-mails de malware para criptografar arquivos em máquinas infectadas. Os pedidos de resgate não eram catastróficos naquela época, mas com a descriptografia cada vez mais difícil, as vítimas sentiam uma pressão crescente para obedecer.
A corrida do ouro do ransomware
No final dos anos 2000, os criadores de ransomware focados em lucro testemunharam retornos crescentes de redes de infecção maiores e criptomoedas permitindo pagamentos anônimos. Percebendo uma oportunidade, eles investiram pesadamente em novas ferramentas e infraestrutura para extrair lucros maiores de uma base de vítimas crescente.
Essa mentalidade de corrida do ouro inaugurou desenvolvimentos chocantes em 2011-2012, como o sofisticado CryptoLocker, que infectou quase 250.000 vítimas nos primeiros meses auxiliado por botnets e serviços de lavagem de dinheiro. O CryptoLocker teve uma média de pagamentos de resgate de US$ 300 — às vezes tão altos quanto US$ 700 —, supostamente rendendo aos operadores mais de US$ 27 milhões nos primeiros dois meses. Outros notaram essa fórmula disruptiva e lucrativa.
O que se seguiu foi um aumento exponencial de cepas de ransomware cada vez mais astutas e a formalização do ransomware como uma empresa criminosa profissionalizada voltada para eficiência e escala.
A revolução RaaS
A escalada do início da década de 2010 atraiu altos lucros para grupos de ransomware estabelecidos, mas também atenção indesejada das autoridades. Desenvolvedores experientes se adaptaram criando kits de ferramentas de ransomware e alugando-os para hackers novatos em vez de orquestrar ataques diretamente.
Esse modelo de ransomware como serviço (RaaS) concedeu aos aspirantes a criminosos cibernéticos pacotes de ransomware prontos para uso em troca de uma parte de seus lucros.
O RaaS inundou o submundo do crime com cepas de ransomware baratas, plug-and-play, que aqueles com habilidades técnicas limitadas poderiam usar. Atores de ameaças inexperientes poderiam simplesmente enviar e-mails de phishing, comprar publicidade para espalhar infecções ou escanear sistemas sem patches em vez de conduzir intrusões sofisticadas eles mesmos.
Os números de vítimas e pagamentos dispararam de acordo, pois afiliados novatos causaram estragos com ferramentas de ransomware sofisticadas — alcançando economias de habilidades inimagináveis individualmente. O RaaS consolidou firmemente o ransomware dentro do repertório criminoso convencional.
Ataques avançados e direcionados
Esquemas sofisticados de ransomware surgiram perigosamente na década de 2020, apresentando metodologias avançadas e ampla segmentação de vítimas.
A Conti, que surgiu em 2020, foi estimada em cerca de 350 membros que juntos ganharam mais de US$ 2,7 bilhões em criptomoedas em apenas dois anos. Em junho de 2021, a gangue REvil extraiu US$ 11 milhões da JBS Meats utilizando um leilão da dark web de dados roubados para pressionar a empresa, além de exigir um resgate de US$ 50 milhões.
As crescentes demandas e danos causados por esses grupos — e grupos relacionados — consolidaram uma mudança de alvos generalizados e oportunistas para uma “caça de animais de grande porte” meticulosamente planejada. Os invasores contemporâneos selecionam cuidadosamente organizações e infraestruturas de alto valor para prejudicar até que resgates substanciais sejam pagos — frequentemente acima de sete dígitos para grandes corporações, hospitais, oleodutos e municípios.
As técnicas dos grupos de ransomware atuais refletem uma profissionalização assustadora de táticas. Eles alavancam criptografia de nível militar, criptomoedas que ocultam identidades, esforços paralelos de roubo de dados e testes de penetração de vítimas antes dos ataques para determinar tolerâncias máximas. Os hackers geralmente ganham entrada inicial comprando acesso a sistemas de corretores clandestinos e, em seguida, implantam esquemas de extorsão multipartes, incluindo ameaças de ataques de negação de serviço distribuído (DDoS), se as demandas não forem atendidas prontamente.
Os autores de ransomware também aproveitam avanços como inteligência artificial (IA) para acelerar ataques por meio da geração de código malicioso, comunidades clandestinas da dark web para coordenar esquemas e mercados de acesso inicial para reduzir despesas gerais.
Como as táticas de ransomware continuam evoluindo
Grupos de ransomware continuam a inovar seus métodos de ataque.
Ataques à cadeia de suprimentos têm se tornado cada vez mais comuns. Ao comprometer um único fornecedor de software, os invasores podem acessar as redes de milhares de clientes downstream. O ataque Kaseya do grupo REvil em 2021 exemplificou isso, afetando entre 800 e 1.500 empresas por meio de uma vulnerabilidade no software VSA da Kaseya.
Os corretores de acesso inicial também se tornaram facilitadores-chave para operações de ransomware. Esses corretores são especializados em obter entrada em redes corporativas e, em seguida, vender esse acesso ao maior lance. Isso permite que grupos de ransomware terceirizem a intrusão inicial e rapidamente escalem seus ataques.
Vulnerabilidades de dia zero, falhas desconhecidas pelo fornecedor do software, são outra ferramenta favorita. Grupos como o DarkSide — responsável pelo ataque Colonial Pipeline — exploraram essa tática para implantar ransomware antes que as vítimas pudessem corrigir seus sistemas.
Dupla extorsão, onde os invasores criptografam arquivos e roubar dados sensíveis, ameaçando liberá-los, é agora a norma. A Maze foi pioneira nisso no final de 2019, e quase todas as cepas adotaram, colocando pressão adicional nas vítimas para pagar.
Os grupos de ransomware frequentemente renomeiam ou trocam de linhagens para evitar detecção e sanções. DarkSide se tornou BlackMatter após Colonial Pipeline, enquanto os operadores Ryuk fizeram a transição para Conti. Esse jogo de shell torna mais difícil para os defensores acompanharem.
Como proteger e preparar
Como os ataques de ransomware não mostram sinais de desaceleração, você deve tomar medidas proativas para proteger sua organização e minimizar o impacto de uma possível violação.
A prevenção é fundamental. Mantenha todos os seus sistemas e softwares atualizados, use senhas fortes e exclusivas, habilite a autenticação multifator (MFA) e faça backup regularmente dos seus dados críticos. Não se esqueça de treinar seus funcionários, pois muitos incidentes começam com e-mails de phishing ou ataques de engenharia social.
Você também deve se concentrar em resiliência e recuperação. Tenha um plano de resposta a incidentes bem ensaiado que descreva procedimentos claros para lidar com um ataque, incluindo isolar sistemas infectados, notificar stakeholders e restaurar de backups.
Garanta que você tenha um plano de comunicação para gerenciar mensagens internas e externas durante e após um ataque. Isso pode ajudar a minimizar danos à reputação e manter todos informados.
Teste regularmente seus processos de backup e restauração para garantir que eles funcionem quando necessário. E atualize-os continuamente conforme seu ambiente de produção e prioridades de negócios mudam. Considere investir em seguro cibernético para ajudar a cobrir os custos associados a um ataque, mas revise cuidadosamente os termos da apólice.
A proteção contra ransomware exige uma abordagem holística e multicamadas que abrange pessoas, processos e tecnologia.
Forjando um futuro de resiliência
A evolução do ransomware nas últimas três décadas tem sido um testemunho assustador da engenhosidade e adaptabilidade dos cibercriminosos. De ataques à cadeia de suprimentos a dupla extorsão, as táticas estão se tornando mais desonestas e as consequências mais severas.
Mas a batalha está longe de terminar. O ransomware pode continuar a evoluir, mas nossas defesas também. Com determinação, colaboração e uma abordagem proativa, podemos garantir que o próximo capítulo na história do ransomware seja de resiliência, não de ruína.
Justin Giardina é Diretor de Tecnologia da Sistemas 11:11.
![T-Mobile conclui com sucesso teste de alerta de emergência sem fio via satélite Starlink](https://emundodigital.com/wp-content/uploads/2024/09/T-Mobile-conclui-com-sucesso-teste-de-alerta-de-emergencia-sem.jpeg")
![Scosche lança novos acessórios para os mais recentes dispositivos da Apple](https://emundodigital.com/wp-content/uploads/2024/09/Scosche-lanca-novos-acessorios-para-os-mais-recentes-dispositivos-da.jpeg")
![Usei o KnowRoaming eSIM em uma viagem pela França e foi isso que aprendi (análise)](https://emundodigital.com/wp-content/uploads/2024/09/Usei-o-KnowRoaming-eSIM-em-uma-viagem-pela-Franca-e.jpg")