O que é ransomware?

História da Tecnologia

Ransomware é um tipo de malware que mantém os dados sensíveis ou dispositivos de uma vítima como reféns, ameaçando mantê-los bloqueados — ou pior — a menos que a vítima pague um resgate ao atacante.

Os primeiros ataques de ransomware simplesmente exigiam um pagamento em troca da chave de criptografia necessária para recuperar o acesso aos dados afetados ou ao dispositivo infectado. Ao realizar backups regulares ou contínuos, uma organização podia limitar os custos desses ataques e, muitas vezes, evitar pagar o resgate.

Nos últimos anos, os ataques de ransomware evoluíram para incluir táticas de dupla extorsão e tripla extorsão, aumentando consideravelmente os riscos. Mesmo vítimas que mantêm backups rigorosos ou pagam o resgate inicial continuam em perigo.

  • Ataques de dupla extorsão: Além de criptografar os dados, os atacantes ameaçam roubar e vazar as informações online.
  • Ataques de tripla extorsão: Além de roubar e vazar os dados, os atacantes ameaçam usar as informações roubadas para atacar os clientes ou parceiros comerciais da vítima.

Por que o ransomware é uma grande ameaça cibernética

O ransomware é uma das formas mais comuns de software malicioso, e os ataques podem custar milhões de dólares às organizações afetadas.

  • 20% dos ataques cibernéticos registrados no IBM® X-Force® Threat Intelligence Index em 2023 envolveram ransomware.
  • Esses ataques são rápidos: quando os hackers ganham acesso a uma rede, leva menos de quatro dias para implantar o ransomware, dando pouco tempo para as organizações detectarem e impedirem os ataques.

Embora vítimas e negociadores relutem em divulgar os valores pagos, os atacantes frequentemente exigem quantias de sete ou oito dígitos. E os pagamentos de resgate são apenas parte do custo total de uma infecção por ransomware. Segundo o relatório IBM Cost of a Data Breach, o custo médio de uma violação por ransomware é de USD 5,68 milhões, sem incluir os pagamentos de resgate.

Dito isso, as equipes de cibersegurança estão se tornando mais habilidosas no combate ao ransomware. O X-Force Threat Intelligence Index descobriu que as infecções por ransomware diminuíram 11,5% entre 2022 e 2023, provavelmente devido a melhorias na detecção e prevenção de ameaças.

Tipos de ransomware

Existem dois tipos gerais de ransomware:

  1. Ransomware de criptografia (encrypting ransomware ou crypto ransomware):
    Este é o tipo mais comum. Ele mantém os dados da vítima como reféns, criptografando-os. O atacante exige um resgate em troca da chave de criptografia necessária para descriptografar os dados.
  2. Ransomware não criptografante (non-encrypting ransomware ou screen-locking ransomware):
    Este tipo menos comum bloqueia o dispositivo inteiro da vítima, geralmente impedindo o acesso ao sistema operacional. Em vez de iniciar normalmente, o dispositivo exibe uma tela com a exigência de resgate.

Esses dois tipos gerais podem ser divididos nas seguintes subcategorias:

Leakware ou doxware

  • Leakware ou doxware é um ransomware que rouba (ou exfiltra) dados sensíveis e ameaça publicá-los.
  • As primeiras formas de leakware geralmente roubavam dados sem criptografá-los, mas as variantes atuais costumam fazer ambos.

Ransomware móvel

  • Inclui todos os ransomwares que afetam dispositivos móveis.
  • Entregue por meio de aplicativos maliciosos ou downloads automáticos (drive-by downloads), a maioria dos ransomwares móveis é do tipo não criptografante.
  • Hackers preferem screen-lockers para ataques móveis porque os backups automáticos na nuvem, comuns em muitos dispositivos móveis, tornam mais fácil reverter ataques de criptografia.

Limpadores

  • Wipers, ou ransomware destrutivo, ameaçam destruir os dados se a vítima não pagar o resgate.
  • Em alguns casos, o ransomware destrói os dados mesmo que a vítima pague.
  • Este tipo de wiper é frequentemente usado por atores estatais ou hacktivistas, em vez de criminosos cibernéticos comuns.

Software de terror

  • Scareware é um ransomware que tenta assustar os usuários para que paguem o resgate.
  • Pode se passar por uma mensagem de uma agência de aplicação da lei, acusando a vítima de um crime e exigindo uma multa.
  • Alternativamente, pode simular um alerta legítimo de infecção por vírus, incentivando a vítima a comprar ransomware disfarçado de software antivírus.
  • Em alguns casos, o scareware é o próprio ransomware, criptografando os dados ou bloqueando o dispositivo.
  • Em outros casos, é apenas o vetor do ransomware, não criptografando nada, mas coagindo a vítima a baixar o ransomware.

Como o ransomware infecta um sistema ou dispositivo

Os ataques de ransomware podem usar vários métodos, ou vetores, para infectar uma rede ou dispositivo. Alguns dos vetores de infecção mais proeminentes incluem:

Phishing e outros ataques de engenharia social

Ataques de engenharia social enganam as vítimas para que baixem e executem arquivos executáveis que, na verdade, são ransomware. Por exemplo:

  • Um e-mail de phishing pode conter um anexo malicioso disfarçado como um arquivo inofensivo, como um .pdf ou documento do Microsoft Word.
  • Esses ataques também podem atrair usuários para visitar sites maliciosos ou escanear códigos QR maliciosos que entregam o ransomware por meio do navegador da vítima.

Vulnerabilidades no sistema operacional e software

Os cibercriminosos frequentemente exploram vulnerabilidades existentes para injetar código malicioso em um dispositivo ou rede.

  • Vulnerabilidades de zero-day: São falhas desconhecidas pela comunidade de segurança ou identificadas, mas ainda não corrigidas. Essas vulnerabilidades representam uma ameaça significativa.
  • Alguns grupos de ransomware compram informações sobre falhas de zero-day de outros hackers para planejar ataques.
  • Mesmo vulnerabilidades corrigidas podem ser usadas como vetores de ataque, como no caso do ataque WannaCry em 2017.

Roubo de credenciais

Os cibercriminosos podem:

  • Roubar credenciais de usuários autorizados.
  • Comprá-las na dark web.
  • Quebrá-las por meio de ataques de força bruta.

Com essas credenciais, os atacantes podem acessar redes ou computadores e implantar ransomware diretamente.

  • O Remote Desktop Protocol (RDP), um protocolo da Microsoft que permite acesso remoto a computadores, é um alvo popular para roubo de credenciais em ataques de ransomware.

Outros malwares

Hackers frequentemente usam malwares desenvolvidos para outros ataques como meio de entregar ransomware a um dispositivo.

  • Por exemplo, o trojan Trickbot, originalmente projetado para roubar credenciais bancárias, foi usado para espalhar a variante de ransomware Conti ao longo de 2021.

Downloads automáticos (Drive-by downloads)

Hackers podem usar sites para entregar ransomware a dispositivos sem o conhecimento dos usuários.

  • Kits de exploração: Usam sites comprometidos para escanear os navegadores dos visitantes em busca de vulnerabilidades que possam ser exploradas para injetar ransomware.
  • Malvertising: Anúncios digitais legítimos comprometidos por hackers podem entregar ransomware a dispositivos, mesmo que o usuário não clique no anúncio.

Ransomware como serviço (RaaS)

Os cibercriminosos não precisam necessariamente desenvolver seu próprio ransomware para explorar esses vetores. Alguns desenvolvedores de ransomware compartilham seu código com outros criminosos por meio de acordos de Ransomware as a Service (RaaS).

  • O criminoso, ou “afiliado”, usa o código para realizar um ataque e divide o pagamento do resgate com o desenvolvedor.
  • É uma relação mutuamente benéfica: os afiliados lucram com a extorsão sem precisar desenvolver seu próprio malware, e os desenvolvedores aumentam seus lucros sem lançar mais ataques.

Os distribuidores de ransomware podem vender o malware em marketplaces digitais na dark web ou recrutar afiliados diretamente por meio de fóruns online ou canais semelhantes. Grandes grupos de ransomware investem somas significativas em esforços de recrutamento para atrair afiliados.

Estágios de um ataque de ransomware

Um ataque de ransomware geralmente segue as seguintes etapas:

Etapa 1: Acesso inicial

De acordo com o IBM Security® Definitive Guide to Ransomware, os vetores mais comuns para ataques de ransomware são:

  • Phishing.
  • Exploração de vulnerabilidades.
  • Comprometimento de protocolos de acesso remoto, como o RDP (Remote Desktop Protocol).

Etapa 2: Pós-exploração

Dependendo do vetor de acesso inicial, os hackers podem implantar uma ferramenta intermediária de acesso remoto (Remote Access Tool – RAT) ou outro malware para estabelecer uma base no sistema-alvo.

Etapa 3: Compreender e expandir

Nesta etapa, os atacantes se concentram em entender o sistema local e o domínio ao qual têm acesso. Eles também trabalham para acessar outros sistemas e domínios, um processo conhecido como movimento lateral.

Etapa 4: Coleta e exfiltração de dados

Os operadores de ransomware mudam o foco para identificar dados valiosos e exfiltrá-los (roubá-los), geralmente baixando ou exportando uma cópia para si mesmos.

  • Embora possam exfiltrar qualquer dado acessível, eles geralmente se concentram em informações especialmente valiosas, como credenciais de login, dados pessoais de clientes e propriedade intelectual, que podem ser usadas para dupla extorsão.

Etapa 5: Implantação e envio da nota de resgate

  • O crypto ransomware começa a identificar e criptografar arquivos. Algumas variantes também desativam recursos de restauração do sistema ou excluem/criptografam backups no computador ou rede da vítima para aumentar a pressão pelo pagamento da chave de descriptografia.
  • O ransomware não criptografante bloqueia a tela do dispositivo, inunda o dispositivo com pop-ups ou impede o uso de outras formas.

Após criptografar os arquivos ou tornar o dispositivo inutilizável, o ransomware notifica a vítima sobre a infecção. Essa notificação geralmente aparece em um arquivo .txt na área de trabalho ou em uma janela pop-up.

A nota de resgate contém instruções para o pagamento, geralmente em criptomoedas ou outros métodos não rastreáveis, em troca da chave de descriptografia ou da restauração das operações normais.

Principais variantes de ransomware

Até hoje, pesquisadores de cibersegurança identificaram milhares de variantes distintas de ransomware, ou “famílias” — linhagens únicas com assinaturas de código e funções próprias. Algumas variantes se destacam pela destruição causada, pela influência no desenvolvimento do ransomware ou pelas ameaças que representam atualmente.

CryptoLocker

  • Surgiu em setembro de 2013 e é amplamente creditado por inaugurar a era moderna do ransomware.
  • Espalhado por meio de uma botnet (rede de computadores sequestrados), foi uma das primeiras famílias de ransomware a criptografar fortemente os arquivos dos usuários.
  • Extorquiu cerca de USD 3 milhões antes de ser desativado por uma operação internacional em 2014.
  • Seu sucesso inspirou variantes como WannaCry, Ryuk e Petya.

WannaCry

  • O primeiro cryptoworm de alto perfil — ransomware que pode se espalhar automaticamente para outros dispositivos em uma rede.
  • Atacou mais de 200.000 computadores em 150 países. Os computadores afetados estavam vulneráveis porque os administradores não corrigiram a falha EternalBlue no Windows.
  • Além de criptografar dados sensíveis, ameaçava apagar arquivos se o pagamento não fosse feito em sete dias.
  • É um dos maiores ataques de ransomware até hoje, com custos estimados em até USD 4 bilhões.

Petya e NotPetya

  • Diferente de outros crypto ransomware, o Petya criptografa a tabela do sistema de arquivos em vez de arquivos individuais, tornando o computador incapaz de inicializar o Windows.
  • Uma versão modificada, NotPetya, foi usada em um grande ataque cibernético, principalmente contra a Ucrânia, em 2017.
  • NotPetya era um wiper incapaz de desbloquear sistemas, mesmo após o pagamento do resgate.

Ryuk

  • Surgiu em 2018 e popularizou ataques de ransomware contra alvos de alto valor, com demandas de resgate superiores a USD 1 milhão.
  • É capaz de localizar e desativar backups e recursos de restauração do sistema.
  • Uma nova variante com capacidades de cryptoworm apareceu em 2021.

DarkSide

  • Operado por um grupo suspeito de estar na Rússia, o DarkSide foi o ransomware que atacou o Colonial Pipeline em 7 de maio de 2021.
  • Considerado o pior ataque cibernético à infraestrutura crítica dos EUA, o ataque interrompeu temporariamente o fornecimento de 45% do combustível da Costa Leste.
  • Além de realizar ataques diretos, o grupo DarkSide também licenciava seu ransomware para afiliados por meio de acordos de Ransomware as a Service (RaaS).

Locky

  • Um ransomware de criptografia com um método distinto de infecção: usa macros ocultas em anexos de e-mail (arquivos do Microsoft Word) disfarçados como faturas legítimas.
  • Quando o usuário baixa e abre o documento, macros maliciosos baixam secretamente o ransomware para o dispositivo.

REvil

  • Também conhecido como Sodin ou Sodinokibi, ajudou a popularizar o modelo de distribuição de ransomware como serviço (RaaS).
  • Conhecido por ataques de dupla extorsão, o REvil foi responsável pelos ataques de 2021 contra a JBS USA e a Kaseya Limited.
  • A JBS pagou um resgate de USD 11 milhões após os hackers interromperem toda a operação de processamento de carne bovina nos EUA.
  • Em 2022, o Serviço Federal de Segurança da Rússia relatou ter desmantelado o REvil e acusado vários de seus membros.

Conti

  • Observado pela primeira vez em 2020, o grupo Conti operava um extenso esquema de RaaS, pagando hackers regularmente para usar seu ransomware.
  • Usava uma forma única de dupla extorsão, ameaçando vender acesso à rede da vítima para outros hackers caso o pagamento não fosse feito.
  • O grupo se desfez após o vazamento de seus registros de bate-papo interno em 2022, mas muitos ex-membros ainda estão ativos no mundo do cibercrime.
  • Segundo o X-Force Threat Intelligence Index, ex-associados do Conti estão ligados a variantes de ransomware amplamente disseminadas hoje, como BlackBasta, Royal e Zeon.

LockBit

  • Uma das variantes de ransomware mais comuns em 2023, de acordo com o X-Force Threat Intelligence Index.
  • O grupo LockBit é conhecido por seu comportamento empresarial, adquirindo outras linhagens de malware de forma semelhante a empresas legítimas adquirindo outras companhias.
  • Apesar de algumas de suas páginas terem sido apreendidas em fevereiro de 2024 e o governo dos EUA ter imposto sanções a um de seus líderes, o LockBit continua a atacar vítimas.

Pagamentos de resgate em ataques de ransomware

As demandas de resgate variam amplamente, e muitas vítimas optam por não divulgar quanto pagaram, dificultando a determinação de um valor médio. No entanto, a maioria das estimativas coloca os valores entre seis e sete dígitos. Segundo o IBM Definitive Guide to Ransomware, já houve casos em que os atacantes exigiram pagamentos de até USD 80 milhões.

Importante destacar que a proporção de vítimas que pagam o resgate caiu drasticamente nos últimos anos. De acordo com a empresa de resposta a incidentes de extorsão cibernética Coveware, apenas 37% das vítimas pagaram resgates em 2023, em comparação com 70% em 2020.

Especialistas atribuem essa queda a uma melhor preparação contra crimes cibernéticos, incluindo:

  • Investimentos em backups de dados.
  • Planos de resposta a incidentes.
  • Tecnologias de prevenção e detecção de ameaças.

Orientações das autoridades

As agências federais de aplicação da lei dos EUA desencorajam unanimemente o pagamento de resgates. Segundo a National Cyber Investigative Joint Task Force (NCIJTF), uma coalizão de 20 agências federais dos EUA que investigam ameaças cibernéticas:

“O FBI não incentiva o pagamento de resgates a criminosos. Pagar um resgate pode encorajar os adversários a atacar outras organizações, incentivar outros criminosos a distribuir ransomware e/ou financiar atividades ilícitas. Além disso, pagar o resgate não garante que os arquivos da vítima serão recuperados.”

As autoridades recomendam que as vítimas de ransomware relatem os ataques às autoridades competentes, como o Internet Crime Complaint Center (IC3) do FBI, antes de considerar o pagamento de resgates.

Obrigações legais e restrições ao pagamento de resgates

Algumas vítimas têm a obrigação legal de relatar ataques de ransomware, independentemente de pagarem ou não o resgate. Por exemplo:

  • A conformidade com a HIPAA exige que entidades de saúde relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos dos EUA.

Sob certas condições, pagar um resgate pode ser ilegal:

  • O Office of Foreign Assets Control (OFAC) dos EUA declarou que pagar resgates a atacantes de países sob sanções econômicas dos EUA (como Coreia do Norte ou Irã) viola os regulamentos do OFAC. Os infratores podem enfrentar penalidades civis, multas ou acusações criminais.
  • Alguns estados dos EUA, como Flórida e Carolina do Norte, tornaram ilegal que agências governamentais estaduais paguem resgates.

Proteção e resposta contra ransomware

Especialistas em cibersegurança e agências como a Cybersecurity and Infrastructure Security Agency (CISA) e o US Secret Service recomendam medidas preventivas para defender contra ameaças de ransomware, incluindo:

  1. Manutenção de backups de dados sensíveis e imagens de sistemas:
    • Idealmente, em dispositivos desconectados da rede para evitar que sejam comprometidos em um ataque.
  2. Aplicação regular de patches:
    • Ajuda a prevenir ataques que exploram vulnerabilidades em sistemas operacionais e softwares.
  3. Ferramentas de cibersegurança:
    • Softwares antimalware, ferramentas de monitoramento de rede, plataformas de detecção e resposta de endpoints (EDR) e sistemas de gerenciamento de informações e eventos de segurança (SIEM) podem ajudar a interceptar ransomware em tempo real.
  4. Treinamento de funcionários:
    • Ensinar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que levam a infecções por ransomware.
  5. Políticas de controle de acesso:
    • Medidas como autenticação multifator, segmentação de rede e controles de identidade e acesso (IAM) podem impedir que o ransomware alcance dados sensíveis e se espalhe para outros dispositivos.
  6. Planos formais de resposta a incidentes:
    • Permitem que as equipes de segurança interceptem e remediem violações mais rapidamente. Segundo o relatório Cost of a Data Breach, organizações com planos formais e equipes dedicadas identificam violações 54 dias mais rápido do que aquelas sem esses recursos, economizando em média quase USD 1 milhão em custos de remediação.

Embora ferramentas de descriptografia para algumas variantes de ransomware estejam disponíveis publicamente por meio de projetos como No More Ransom, a remediação de uma infecção ativa geralmente exige uma abordagem multifacetada.

Linha do tempo do ransomware

  • 1989: O primeiro ransomware documentado, conhecido como AIDS Trojan ou P.C. Cyborg, é distribuído por disquetes. Ele oculta diretórios de arquivos no computador da vítima e exige USD 189 para desbloqueá-los. Como o malware criptografa apenas os nomes dos arquivos, é fácil reverter o dano sem pagar o resgate.
  • 1996: Cientistas da computação Adam L. Young e Moti Yung, ao analisar o AIDS Trojan, alertam sobre formas futuras de malware que poderiam usar criptografia mais sofisticada para manter dados sensíveis como reféns.
  • 2005: Após poucos ataques de ransomware no início dos anos 2000, há um aumento de infecções, principalmente na Rússia e Europa Oriental. As primeiras variantes a usar criptografia assimétrica aparecem.
  • 2009: A introdução de criptomoedas, especialmente o Bitcoin, oferece aos cibercriminosos uma maneira de receber pagamentos de resgate não rastreáveis, impulsionando a próxima onda de ataques de ransomware.
  • 2013: A era moderna do ransomware começa com o CryptoLocker, que inaugura ataques sofisticados baseados em criptografia, solicitando pagamento em criptomoedas.
  • 2015: A variante Tox introduz o modelo de Ransomware as a Service (RaaS), permitindo que cibercriminosos sem conhecimento técnico utilizem ransomware desenvolvido por terceiros.
  • 2017: O WannaCry, o primeiro cryptoworm amplamente usado, aparece, explorando a vulnerabilidade EternalBlue no Windows.
  • 2018: O Ryuk populariza ataques de ransomware contra grandes alvos (big game hunting), com demandas de resgate frequentemente superiores a USD 1 milhão.
  • 2019: Ataques de dupla e tripla extorsão tornam-se mais populares. Desde 2019, quase todos os incidentes de ransomware respondidos pela equipe IBM Security® X-Force® Incident Response envolveram dupla extorsão.
  • 2022: O thread hijacking — em que cibercriminosos se inserem em conversas legítimas online para espalhar malware — emerge como um vetor de ransomware proeminente.
  • 2023: À medida que as defesas contra ransomware melhoram, muitos grupos de ransomware expandem seus arsenais e complementam seus ataques com novas táticas de extorsão. Grupos como LockBit e remanescentes do Conti começam a usar malwares infostealer, que permitem roubar dados sensíveis e mantê-los como reféns sem precisar bloquear os sistemas das vítimas.
  • 2024: As autoridades intensificam os esforços contra grupos de ransomware. Em fevereiro, sites associados ao LockBit são apreendidos, e o governo dos EUA impõe sanções a um dos líderes do grupo. Apesar disso, o LockBit continua ativo, demonstrando a resiliência de grandes grupos de ransomware.
  • 2025: A evolução do ransomware continua, com ataques cada vez mais sofisticados. Grupos de ransomware começam a integrar inteligência artificial para identificar alvos de alto valor e automatizar processos de ataque, tornando as defesas cibernéticas ainda mais desafiadoras.

Com conteúdo do IBM.

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

© 2025

política de privacidade termos de uso