O segundo tipo de incidente de malware mais comum é o notório ataque de ransomware. De acordo com o relatório de investigação de vazamentos de dados de 2020 da Verizon, o principal objetivo de um ataque de ransomware é atrapalhar as operações o suficiente para que as organizações paguem pelo sequestro dos dados. Somente em 2021, a média de valores de resgate aumentou 82% ano sobre ano, alcançando $570.000. Este artigo explica o que o ransomware é, porque o ransomware é uma ameaça de segurança cibernética complicada e como as companhias podem prevenir, detectar e responder a infecções de malware.
O que é o Ransomware?
O Ransomware é um tipo de malware que restringe o usuário alvo de acessar sistemas ou dados até que um pagamento pelo sequestro desses sistemas e dados seja feito. Os hackers normalmente criptografam os dados da vítima e ficam com a chave de descriptografia até que o sequestro seja pago.
Apesar dos ataques às vezes não ameaçarem destruir ou publicar os dados sensíveis, a maior preocupação fica por conta da continuidade do negócio. Já que os dados no sistema comprometido estão criptografados, indisponíveis para usuários e aplicações de softwares, então o processo do negócio pode parar.
O desafio em detectar o Ransomware
Os ataques de ransomware são difíceis de se detectar rapidamente a ponto de prevenir danos. Os criminosos cibernéticos usam técnicas de engenharia social para instalar ransomwares e algoritmos de criptografia de nível militar para mexer com os dados sensíveis. Uma vez que o computador ou outro endpoint é infectado o ransomware pode se propagar através da rede e ser executado de forma extremamente rápida, o que torna quase impossível responder a tempo. Muitas vezes, a organização alvejada só se dá conta da infecção depois que o ransomware criptografa os dados e anuncia sua presença para a organização demandando um pagamento.
Formas mais comuns de se infectar com Ransomware
As formas mais comuns de ser infectado com ransomware são:
- Spam e e-mails de phishing – Os autores de ransomware normalmente posam como usuários legítimos tentando enganar os usuários a fazerem downloads maliciosos. Tenha certeza de ter um sistema de proteção de segurança de e-mail que verifique quem enviou as mensagens e cheque os anexos em e-mail.
- Sites maliciosos – Alguns sites hospedam malwares e phish para informações sensíveis como credenciais de login. Este método normalmente requer a interação do usuário, como clicar em anúncios falsos ou links em mídias sociais e colocar informações em campos de login falsos, então garanta que as políticas de navegação na companhia estão configuradas para a navegação segura.
- Dispositivos removíveis infectados – Dispositivos flash USB podem conter malware que se instala automaticamente quando você o conecta ao computador. Tenha certeza que os computadores executem scans de segurança de dispositivos removíveis e que desabilitem a função de auto execução.
- Aplicações maliciosas e plugins – Autores de malware costumam juntar seus vírus com softwares através de sites de terceiros. Tenha certeza de ler cuidadosamente o que você instalar e faça o download de softwares apenas de sites oficiais. Também tenha certeza de que os usuários comuns não tenham permissão para realizar o download e a instalação de softwares nos seus computadores.

Tipos de ransomware
Os principais tipos de ransomware a se ficar de olho são:
- Ransomware Locker – Este tipo de malware restringe o acesso aos dados infectados
- Ransomware Crypto – Provavelmente o tipo mais perigoso de ransomware, este malware restringe acesso aos arquivos e dados armazenados. Ele criptografa os dados do usuário e demanda um pagamento em troca da chave de descriptografia. Entretanto, pagar por ela não garante a obtenção da chave.
- Ransomware Mobile – Este tipo de malware se espalha de um dispositivo móvel para um computador e tipicamente mostra uma mensagem que o dispositivo já foi bloqueado através de uma atividade ilegal.
Sinais de um ataque de ransomware
Alguns indicadores de um ataque de ransomware incluem:
- Atividade suspeita no sistema de arquivos, como centenas de falhas de modificação (por conta do ransomware tentando acessar estes arquivos)
- Aumento na atividade de CPU e disco sem motivo aparente (por conta do ransomware estar procurando arquivos de dados para criptografar e remover)
- Não ser capaz de acessar certos arquivos (resultado do ransomware criptografar, deletar, renomear ou realocar os dados)
- Comunicações de rede suspeita (causada pela interação entre o ransomware e o servidor de controle e comando dos invasores)
Melhores práticas para detecção do ransomware
Nenhum negócio está imune a ameaças cibernéticas, mas existem diversas práticas que irão reduzir o risco de ser vítima de um ataque de malware e permitirá que você encontre ataques em progresso.
Relacionado: Ransomware: Melhores Práticas de Prevenção
Eduque seus colaboradores
Mostre aos seus colaboradores uma lista de ações a se tomar caso eles encontrem um link ou e-mail suspeito. Ensine-os sobre partes suspeitas em e-mails como:
- Contas de e-mail que parecem corporativas
- Arquivos de anexo suspeitos
- Links suspeitos para URLs externas
Monitore seus sistemas
Monitore seus sistemas em busca de sinais de atividade suspeita
- Faça o scan de sistemas de arquivos em busca de atividades atípicas, como centenas de falhas de modificação de arquivos.
- Tenha o log de todo o tráfego de entrada e saída.
- Determine o baseline da atividade normal do usuário e procure de forma proativa por atividades suspeitas
- Investigue quaisquer atividades inusitadas.
Veja como é fácil identificar anomalias com o Netwrix Auditor
Crie iscas
Iscas são falsos repositórios de arquivos que se parecem com repositórios. Os hackers irão alvejar as iscas, permitindo que você os encontre. Detectá-los o mais rápido possível ajuda na remoção segura do malware e protege a sua infraestrutura de ser comprometida.
Use soluções de software
Use a lista de inclusão de softwares em conjunto com ferramentas de Antivírus e Anti ransomware que te alertarão das ameaças.
Cheque o conteúdo do e-mail
Cheque e filtre de forma sistemática os conteúdos suspeitos nos e-mails e spam:
- Configure o e-mail para filtrar e prevenir mensagens suspeitas de chegarem até a caixa de entrada de um usuário.
- Não permita arquivos com determinadas extensões nos anexos de e-mail como arquivos executáveis.
Conclusão
O Ransomware é notoriamente desafiador no que se diz respeito a detectar e se proteger dele. Mas ao tomar as precauções necessárias, como educar os seus colaboradores em vulnerabilidades comuns, estabelecer processos e sistemas para o monitoramento preventivo e instalar ferramentas e softwares anti ransomware, as organizações podem assegurar seus sistemas e proteger seus dados sensíveis de forma efetiva.



