Medo é o principal componente do ransomware, diz Trend Micro

“Em 2016, as ameaças online evoluirão contando mais com uma vertente psicológica por trás de cada ataque do que com um melhor aspecto técnico da operação. Os agressores continuarão a usar o medo como o principal componente do ataque, pois já se mostrou eficaz no passado”. Estas foram as previsões da Trend Micro no final de 2015. E é o que acontece hoje.

De acordo com a Trend Micro, a operação de ransomware é simples e dividida em etapas, ou seja, encontrar um meio de se infiltrar na máquina da vítima, bloquear o sistema ou ficheiros críticos e forçar a vítima a pagar o resgate. Ao longo dos anos, o ransomware desenvolveu-se tremendamente e tornou-se numa ameaça cibernética eficaz que não só assusta as possíveis vítimas com um ecrã bloqueado, mas como um malware que conhece os pontos fracos dos seus alvos.

As primeiras variantes do ransomware aproveitaram-se do medo das vítimas por meio de trojans (como o Reveton), fingindo ser alertas legítimos de violações de leis nacionais e federais para enganar os utlizadores, levando-os a clicarem em links maliciosos. Isso preparou o caminho para um malware mais evoluído e sofisticado, o crypto-ransomware, que sequestra os dados das vítimas.

Os cibercriminosos que usam o ransomware fazem inúmeros esforços para expandir efetivamente o seu alcance. A engenharia social continua a funcionar, mas agora tem uma abrangência ainda maior.

A empresa lembra que em maio deste ano, milhões de utilizadores da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A fraude veio na forma de emails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviadas com um endereço de email amazon.com e o assunto “ O seu pedido da Amazon.com foi enviado (#código)”, o que poderia facilmente enganar um utilizador levando-o a a fazer o download de um anexo contendo um ficheiro com malware.

No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os utilizadores da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os utilizadores com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava na mesma, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.

O resgate

Para o pagamento do resgate, a Trend Micro destaca que os developers de ransomware criaram uma série de maneiras para convencer os utilizadores de que pagar o resgate é a melhor opção.

Em abril, surgiu um novo tipo de ransomware chamado Jigsaw, cujo o nome foi inspirado na saga de filmes Saw. O método de extorsão envolve um cronómetro mostrando quanto tempo a vítima ainda tem para pagar o resgate – inicialmente de US$150 – e assim recuperar o acesso aos ficheiros criptografados. Para aumentar a sensação de urgência, cada hora que o resgate deixa de ser pago, é removida uma parte dos arquivos da vítima. Depois de 72 horas de não pagamento, um lote inteiro de ficheiros criptografados é apagado.

Leia também : Qualys apresenta centro de operações de risco de cibersegurança

O Jigsaw mostra a direção que os chantagistas estão a abraçar – um ataque claro e evidente contra a psique da vítima.

Evolução dos ataques

Vários casos de infecção de ransomware mostraram como o malware foi atrás de uma rede mais ampla, de utilizadores individuais para redes inteiras de organizações. Uma série de ataques de alto nível, demonstraram como pode ser usado para interromper operações de sistemas críticos em vários setores e indústrias.

Quando surgiu a notícia de uma “situação de emergência interna” que derrubou os sistemas do Hollywood Presbyterian Medical Center (HPMC), o ransomware ultrapassou a ameaça de um problema individual para uma situação que pode colocar em perigo não apenas uma organização, mas também vidas humanas.

A rede e sistemas de computador do hospital, inclusive os que envolviam tomografias computadorizadas, exames de laboratório, farmacêuticos e documentação ficaram offline mais de uma semana, fazendo com que os funcionários voltassem ao uso de papel e caneta. Esse incidente também causou impacto nos sistemas de salas de emergência, obrigando-os a transferir pacientes para outros hospitais.

Segundo a Trend Micro até hoje, já foram detetadas 50 novas famílias de ransomware, isto apenas nos primeiros cinco meses de 2016. O mais alarmante é o fato de que a ameaça continua a crescer – em número e nível de eficácia.

De acordo Trend Micro, estas são as melhores medidas de prevenção:

Evitar abrir e-mails não verificados ou clicar em links incorporados nos mesmos
Fazer backup dos ficheiros importantes, usando a regra do 3,2,1: criar três backups em dois suportes diferentes com um backup em local separado
Atualizar regularmente o software para se proteger contra as vulnerabilidades mais recentes

Leia também : Trojan Necro infiltra-se em aplicações do Google Play