A atividade de ransomware diminuiu, mas ele ainda é uma ameaça perigosa

Há dois anos, você não estaria enganado por achar que a Internet inteira estava tomada por ransomwares. Em 2016, os pesquisadores identificaram 98 famílias novas de ransomware, sendo que esse número não passava de 30 no ano anterior. Depois disso, em 2017, vieram os ataques destrutivos do ransomware WannaCry e do Petya, que viraram manchete em todo o mundo.

No entanto, parece que, ultimamente, o ransomware desapareceu dos noticiários. Tudo indica que, por alguma razão, essa forma de ataque subitamente passou a chamar menos atenção. Durante o ano de 2018, o número de infecções de ransomware realmente caiu 20% em relação a 2017, de acordo com o Relatório de Ameaças à Segurança na Internet (ISTR) de 2019 da Symantec. Além disso, apenas 10 novas famílias de ransomware apareceram durante 2018.

Por trás dessas estatísticas encorajadoras se escondem alguns fatos preocupantes. Dentro da queda geral na atividade de ransomware, a Symantec registrou um crescimento de 12% em ataques de ransomware direcionados contra empresas. Também chama a atenção que as infecções de dispositivos móveis por ransomware aumentaram 33% durante 2018.

Até mesmo a queda geral de 20% na atividade de ransomware durante o ano deve ser considerada dentro de um contexto específico, pois 2017 foi o ano recorde desse tipo de ataque. “Houve mais atividade de ransomware em 2018 do que em 2016”, relatou Dick O’Brien, o editor principal da organização Symantec Security Response. “O ransomware continua sendo uma ameaça séria e perigosa.”

Esse fato ficou evidente após uma série de ataques do ransomware denominado SamSam, que ocorreu durante 2018. A Symantec encontrou evidências de ataques do SamSam contra 67 alvos no ano passado, sendo quase 1/4 deles no setor de saúde.

Um dos ataques mais notórios associado ao SamSam ocorreu na cidade de Atlanta, em 22 de março de 2018. Com vários computadores municipais criptografados pelo ransomware, mais de 1/3 dos 424 programas de software usados em Atlanta foram desconectados ou parcialmente desabilitados pelo ataque. Atlanta declarou que não pagou os invasores, que exigiam um valor de US$ 51.000 em bitcoins para liberar os dados criptografados, mas os custos para limpar a cidade após o ataque poderiam ultrapassar a margem de US$ 10 milhões.

Esse gasto enorme para remediar o estrago deixa claro uma das realidades de qualquer ataque com ransomware: mesmo que a vitima não cumpra as exigências dos invasores, o custo para reparar os danos é atordoante. “No caso de uma empresa com centenas ou milhares de computadores, acaba sendo absurdamente incapacitante e caro recuperar-se de um ataque de ransomware, mesmo se houver backup dos dados criptografados pelo ataque”, afirmou O’Brien.

Ainda assim, conforme sugere o declínio na atividade de ransomware no ano passado, há algumas tendências positivas ocorrendo no setor. Há mais consumidores realizando backup de dados na nuvem como meio de recuperar os dados caso seus dispositivos sejam criptografados maliciosamente. Uma quantidade cada vez maior de ações judiciais contra invasores que usam ransomware também está causando impacto. Além disso, os fornecedores de segurança cibernética estão melhores em detectar e bloquear ransomware.

Essas melhorias na defesa ajudaram a provocar uma queda na prevalência de ataques com ransomware orquestrados com a ajuda dos kits de exploração baseados na Web. Em vez disso, as campanhas de email que usam spear phishing e outros métodos para enganar as vítimas se tornaram o método principal para distribuição de ransomware em 2018, de acordo com o ISTR da Symantec.

Enquanto isso, o volume absoluto de todas as formas de malware estão provocando uma dependência cada vez maior de novas tecnologias e técnicas de defesa. “Antigamente, para bloquear um malware, bastava obter uma amostra, criar uma 'impressão digital' e depois receber uma confirmação, caso ele fosse identificado”, disse O’Brien. “Porém, com a quantidade de malware que existe agora, o processo de identificação manual deixou de ser eficiente.”

Como alternativa, a Symantec está voltada para outras tecnologias, como a análise comportamental e a aprendizagem de máquina, para bloquear o ransomware desde o início do processo de infecção. A Symantec tem meios para acessar um pool de dados enorme em sua base global de clientes, que pode ser usado para aplicar os algoritmos de aprendizagem de máquina tanto em malware conhecido como em códigos suspeitos. “À medida que o malware é exposto à aprendizagem de máquina, ela fica mais sintonizada, e com isso se torna cada vez mais apta a criar impressões digitais por conta própria”, afirma O’Brien.

Assim como a maioria dos ataques cibernéticos atuais, os ataques de ransomware frequentemente ocorrem em combinação com outras técnicas de ataque. Por exemplo, os ataques com o ransomware SamSam também se aproveitaram de técnicas do tipo "living off the land", em que se utiliza funções do sistema operacional ou ferramentas administrativas comuns para explorar e prejudicar os sistemas e as redes das vítimas.

Seja um ataque de ransomware puro ou parte de um ataque híbrido, o ransomware continua sendo uma ameaça significativa em todo o cenário cibernético. As empresas devem continuar vigilantes com relação a esse tipo de ameaça mesmo que ela não apareça mais em tantas manchetes quanto no passado recente.