As ameaças cibernéticas evoluem com uma rapidez imensa. É desafiador tentar acompanhar as mudanças nas técnicas e metodologias usadas por criminosos cibernéticos. E, agora, há uma nova forma de ataque que combina ransomware com DDoS, criando ataques mais robustos – e que, claro, trazem mais ganhos para os criminosos.
Ransomware e DDoS
Ransomware é um tipo de malware (malicious software, ou programa malicioso, comummente conhecido como vírus) que serve para infetar um dispositivo, sistema ou rede e “sequestrar” dados, arquivos e informações em geral – os criminosos pedem um “resgate”, geralmente em dinheiro, para devolver os dados roubados.
Em geral, um ransomware é instalado quando a vítima clica em anúncios, mensagens, links ou arquivos infetados, geralmente alertando sobre ameaças ao sistema, deteção de vírus (ou melhor, falsa deteção de vírus) e, claro, oferecendo a “solução mágica” com poucos cliques.
Já no sistema, o vírus possibilita a entrada do criminoso, que pode até congelar o dispositivo e travar arquivos, pastas ou dispositivos de armazenamento inteiros com senhas e criptografia avançada, impedindo que a vítima os acesse.
O DDoS é o Distributed Denial of Service (“distribuição de negação de serviço”), que sobrecarregam uma plataforma, sistema ou servidor com um fluxo falso de visitas, derrubando o servidor e causando o congelamento, a paralisação, a lentidão ou até mesmo derrubando o serviço atacado.
Há uma similaridade entre estas duas ameaças: ambas impedem, negam ou limitam acessos.
Ameaças clássicas, métodos novos
Ransomware e DDoS não são ameaças novas. Já nos anos 1990, os ataques de ransomware já eram uma realidade. Mas os métodos para executá-los passaram e passam por uma série de adaptações e atualizações.
Criminosos cibernéticos já estão usando uma nova forma de ataque que combina ransomware com ataques DDos para invadir dispositivos, sistemas e roubar/sequestrar informações, exigindo pagamentos pelo retorno dos arquivos e dados atingidos. Há dois vírus em circulação que já estão usando esta nova fórmula: o RagnarLocker e o SunCrypt.
O SunCrypt usa técnicas de outros ransomwares como Maze e NetWalker. Basicamente, depois de infectar a máquina, ele usa um carregador PowerShell que não é detetado, usa a função hash FNV para esconder as linhas de código e de configuração e, aí, usa um algoritmo de criptografia (ChaCha20) para impedir o acesso da vítima aos arquivos bloqueados.
O RagnarLocker é um trojan (cavalo de Tróia) que também criptografa, ou seja, bloqueia o acesso dos dados contra a vontade da vítima. Ele é especialmente voltado para ataques a empresas e ambientes corporativos em geral.
A diferença é que estes dois novos métodos é que eles exploram vulnerabilidades que antes não eram conhecidas. A instalação do RagnarLocker, por exemplo, envolve processos mais complexos que o da maioria dos ransomwares em atividade.
O que mudou com o RagnarLocker e o SunCrypt
Em geral, quando uma empresa sofria com ataques de ransomware, muitas vezes bastava usar backups com cópias dos arquivos bloqueados/roubados. Então, muitas vítimas nem se preocupavam com as ameaças, muito menos em fazer qualquer pagamento por “resgate”.
Só que, agora, ataques com RagnarLocker e SunCrypt são acompanhados de ataques DDoS, com o objetivo de derrubar toda uma rede, impossibilitando o acesso a estes backups, forçando as vítimas a contactar os criminosos, o que aumenta as chances de lucrar com o golpe.
A versatilidade dos ataques DDoS
Ataques do tipo DDoS são geralmente baratos de se fazer, além de serem bastante fáceis de executar com as ferramentas certas. E as chances de defesa e resistência diminuem porque, como todo um sistema, servidor ou rede podem ser desabilitados, os recursos de proteção também são diminuídos drasticamente.
Desde que o ransomware Maze introduziu a estratégia de dupla extorsão, outros vírus do tipo também passaram a usar o mesmo método, incluindo os ataques DDoS.
Estes ataques aumentam a versatilidade e os danos de golpes com ransomware, aumentando a pressão sobre as vítimas e induzindo-as a atender as exigências dos criminosos.
Algumas dicas de segurança
Há algumas dicas essenciais que podem ajudar a evitar danos causados por estes e outros tipos de ataques. Investir em uma boa infraestrutura diminui os potenciais de danos de ataques DDoS, além de manter firewalls e antivírus profissionais sempre ativos.
Não clicar em links suspeitos nem baixar qualquer coisa cuja autenticidade não possa ser provada também são comportamentos importantes. E, é claro, é importante manter uma equipe de TI para prevenir, conter, gerenciar, responder ou reverter ataques, além de instruir todos os funcionários sobre pontos importantes de segurança digital.
Ter uma VPN online profissional, confiável e sempre ativa também é ótimo para melhorar sua segurança online: elas criptografam seus dados, tornando-os menos vulneráveis a ataques, além de proteger sua conexão como um todo.