Cibersegurança: O resgate que paralisa

O ataque informático designado por ransomware, pode ser resumido numa palavra: Paralisante!

Isto porque este ataque, se for bem-sucedido, paralisa por completo o sistema informático atingido.

A sua principal característica é colocar como inacessíveis os dados necessários ao funcionamento de um sistema informático. Numa empresa, a paralisação do sistema informático tem como consequência a paragem de funcionamento em todas as suas vertentes: produção, contabilidade, comercial, marketing, etc. Mesmo que existam cópias de todos os dados informáticos afetados, a sua posterior reposição é morosa. Enquanto não estiver concluída, o sistema não funcionará.

Se não existirem cópias de segurança dos dados afetados, estes muito provavelmente estarão perdidos, sem hipótese de recuperação. Anos de desenvolvimento de projetos, arquivos de bases de dados de clientes, relatórios financeiros, situação fiscal da empresa e toda a faturação, incluindo dívidas de clientes e a fornecedores, ficarão irrecuperáveis.

Empresas de segurança informática têm colocado à disposição das vítimas destes ataques, mecanismos para a recuperação de ficheiros, mas do que se tem vindo a assistir, a sua eficácia é residual (www.nomoreransom.org/).

Como qualquer tipo de ataque informático, o ransomware pode ser perpetrado de inúmeras formas. Entre outras, pode ser causado por falhas de segurança na rede, nos sistemas operativos, engenharia social, ou através do uso de mensagens de correio eletrónico com conteúdo malicioso, sendo o objetivo que o atacante ganhe acesso à rede informática da empresa. Qualquer forma que o ataque tome, o resultado final é semelhante ao descrito.

Numa primeira fase, o atacante ganha acesso à rede informática da empresa. Pode enviar uma mensagem de correio eletrónico, que contém informação, supostamente do interesse da empresa ou do utilizador (por exemplo: ganhou um prémio!) e um link para a respetiva consulta, à semelhança das utilizadas para ataques de phishing.

NOTA: Tanto o correio eletrónico como outras aplicações que permitam comunicação, tais como Facebook, Instagram, WhatsApp, Twitter, TikTok, etc. podem ser usadas para o envio de links maliciosos.

Ao clicar nesse link, é instalado software malicioso no computador usado. Esse software vai comunicar com o atacante e indicar-lhe, de dentro da rede informática, informação sobre a forma de lhe aceder, a sua topologia, a sua dimensão, sistemas de proteção, etc.

Esta forma de intrusão é bastante vulgar e é destacada, porque ao contrário de vulnerabilidades no sistema operativo ou na rede, está ao alcance do utilizador avisado evitá-la.

Depois de “estudar” a rede, o que pode demorar semanas, o atacante escolhe o momento ideal para concretizar o ataque: Durante um fim de semana ou feriado, pois com a habitual redução de pessoal nestas alturas, é mais fácil o ataque passar despercebido, até ser tarde demais para o impedir.

De seguida, é feita a escolha dos ficheiros a atacar: No ataque mais comum, os sistemas operativos [Windows, Mac Os, etc] e as aplicações informáticas [Word, Excel, Autocad, etc], não são afetados. Isto permite que os computadores arranquem e funcionem. Os ficheiros escolhidos para atacar são os que contêm informação: documentos de Word, Excel, Autocad, bases de dados, etc.

Um dos principais alvos a “destruir” são as cópias de segurança de dados que estejam acessíveis.

Os ficheiros com informação são cifrados, com recurso a algoritmos de cifragem, não reversíveis computacionalmente. Usados legitimamente, estes algoritmos servem para que o utilizador consiga proteger os seus ficheiros de acessos indesejados por terceiros.

Para reverter a cifragem dos ficheiros, é necessário usar o mesmo programa (algoritmo) com que a cifragem foi feita e o recurso a uma palavra-passe. Sem a palavra-passe, nem o fabricante do programa consegue reverter o resultado.

Na prática, o atacante usurpa o direito do legítimo utilizador ao acesso aos ficheiros. Cifra-os com um dos algoritmos em uso e guarda a respetiva palavra-passe. Assim, os ficheiros com informação, em vez de ficarem protegidos de acessos indevidos e contra a vontade do utilizador, ficam inacessíveis ao legítimo utilizador que não lhes consegue aceder!

Após terminada a cifragem, quando o ataque está concluído, é deixada uma mensagem de texto no ambiente de trabalho dos computadores infetados, semelhante à da Figura 1, com uma exigência de pagamento de determinada quantia, normalmente em criptomoedas (bitcoins) e um endereço de correio eletrónico ou um ID para um chat, para comunicação. Basicamente, é pedida uma quantia em dinheiro para que seja fornecida a palavra-passe e as instruções destinadas à reversão da cifragem.

Mesmo que a vítima pague o que lhe é exigido, não tem nenhuma garantia de que lhe venham a ser fornecidos os elementos prometidos, de forma a repor os conteúdos cifrados.

PREVENÇÃO

Os mecanismos para impedir este ataque passam por:

- Manter o software atualizado;

- Instalar aplicações anti malware que detetam este tipo de ataque;

- Instalar aplicações para monitorização da rede, com alertas configurados;

- Efetuar cópias regulares de segurança dos ficheiros e mantê-las devidamente isoladas da rede;

- Instalar mecanismos anti-spam nos servidores de correio eletrónico;

- No final de cada dia, desligar todos os computadores cujo funcionamento não seja essencial;

- Formação contínua dos utilizadores para que estes reconheçam mensagens de correio eletrónico com potenciais ameaças, nomeadamente se os computadores que usam estão a ser alvo de ransomware, e instruí-los sobre as medidas imediatas que podem tomar para debelar o ataque;

- “Compartimentação” da rede informática: dividir a rede da empresa em várias sub-redes isoladas entre elas (administração, produção, comercial, visitas…) Assim, mesmo que uma das sub-redes seja afetada, é minimizada a possibilidade de todo o sistema ser invadido. É um pouco como os navios, cujas portas interiores são estanques, de forma que, mesmo que um dos compartimentos seja inundado, os restantes ficam protegidos.

ORIGEM

A informação recolhida aponta no sentido de que a execução destes ataques é feita a partir do estrangeiro, por indivíduos com grandes conhecimentos de tecnologias de informação e que são exímios a camuflar a verdadeira origem e localização do ataque.

É desaconselhado o pagamento do resgate exigido. Não existem garantias de que os ficheiros sejam repostos e o pagamento promove a continuação e evolução da atuação criminosa.

- Composição do nome deste malware: Ransomware (ransom – do inglês, resgate; ware – abreviatura de software).

Texto: Brigada de Investigação de Criminalidade Informática da Polícia Judiciária de Leiria

Publicação: Revista Molde 131