Após muitos anos de evolução, o ransomware surgiu como uma das categorias de malware mais dominantes da atualidade. A ameaça é conhecida por bloquear os computadores ou criptografar os arquivos para fazer com que os usuários paguem por eles. O ransomware teve uma propagação global, pois, de acordo com a telemetria da Symantec, 11 dos 12 países mais afetados pelo ransomware nos últimos 12 meses são todos Estados-Membros diretos ou indiretos da organização do G20. Entre as nações mais afetadas estão EUA, Japão, Reino Unido e Itália.
Com a crescente disseminação de dispositivos conectados, como computadores vestíveis e a Internet das Coisas (IoT), talvez o ransomware esteja próximo de outro salto evolutivo. Em nossa última pesquisa, descobrimos que não seria difícil para que a geração atual de ransomware passasse de celulares para dispositivos vestíveis, como smartwatches. Mas, antes de abordar esse assunto, analisaremos de onde veio o ransomware, por onde ele já passou e quais são seus prováveis destinos.
Antes do surgimento do ransomware…
É fácil pensar que o ransomware é um problema moderno, mas seu conceito já existe há 26 anos. O primeiro caso documentado de ransomware foi o AIDS Trojan de 1989. A ameaça se espalhou por meio de disquetes de 5¼ polegadas enviados via cartas de correio convencional. Esses disquetes criptografavam os arquivos dos computadores e, em seguida, pediam que os usuários pagassem para descriptografá-los. É claro que o AIDS Trojan não foi apresentado como um ransomware, mas usava o mesmo truque observado na atualidade – punição pelo suposto uso de um software sem licença.
Embora o AIDS Trojan possa ter sido o primeiro ransomware, foram os aplicativos enganosos e os posteriores antivírus falsos (AV falsos) que realmente deram início à tendência de extorsão digital da atualidade. Assim como o ransomware, os scams de aplicativos enganosos e AV falsos foram criados para confundir os usuários e gerar receitas de forma fraudulenta.
Os aplicativos enganosos eram comuns em 2005. Esses aplicativos apresentavam problemas falsos de computador às vítimas e pediam que elas pagassem por licenças de software para corrigi-los. Os AV falsos ganharam popularidade entre 2008 e 2009, como uma evolução das táticas enganosas dos aplicativos. Esses scams tentavam convencer os usuários de que o computador estava infectado com malware e os obrigavam a pagar por licenças de software fraudulento.
Ao longo dos anos, o público ficou mais informado sobre os scams de aplicativos enganosos e AV falsos. Entre 2011 e 2012, como resultado, os invasores passaram a preferir o ransomware como a campanha de crime cibernético da vez. Os invasores começaram com campanhas de ransomware de bloqueio, que bloqueia o uso do computador e exige pagamento para desbloqueá-lo. A partir de 2013, passaram para o ransomware de criptografia, que criptografa arquivos importantes do computador e exige pagamento para descriptografá-los. O ransomware de bloqueio e o ransomware de criptografia usam diferentes técnicas para atingir o mesmo objetivo: obrigar a vítima a pagar para restaurar o acesso a algo que já era propriedade dela.
Ransomware de bloqueio: “Pague uma multa de US$ 200 se não quiser ser preso”
O ransomware de bloqueio costuma depender mais da engenharia social do que o ransomware de criptografia para convencer as vítimas a fazer o pagamento. Especificamente, o ransomware de bloqueio usa táticas de fiscalização da lei, exibindo notificações que parecem oficiais e acusam a vítima de infrações penais graves, ao mesmo tempo que bloqueia o computador e exige o pagamento de uma multa para desbloquear o sistema. O ransomware afirma, convenientemente, que se o usuário pagar a suposta multa, quaisquer acusações serão retiradas. O ransomware de bloqueio usa imagens oficiais de fiscalização da lei e uma linguagem autoritária para tentar persuadir a vítima de que as acusações são legítimas.
Figura 1. Palavras típicas usadas em telas de exigência de ransomware de bloqueio.
O ransomware de bloqueio também costuma solicitar que as vítimas paguem o resgate com cupons de pagamento em dinheiro. A vítima pode ir a uma loja tradicional e trocar dinheiro por um código de cupom de pagamento. Esse código, em seguida, pode ser usado para pagar por bens e serviços, geralmente online. A quantia média exigida pelo ransomware de bloqueio é de cerca de US$ 200.
Os usuários devem lembrar que nenhuma jurisdição atual tem leis que permitem a emissão eletrônica de multas por crimes cometidos em um computador. É preciso saber que a acusação de crimes exige obtenção de evidências meticulosa e representação em tribunal, antes que um julgamento seja feito. Desconfie de mensagens ou avisos que indiquem o contrário, pois esse é um sinal de fraude.
Se algum dispositivo tiver sido infectado por um ransomware de bloqueio, siga as seguintes orientações:
- Não pague o resgate, pois mesmo após o pagamento, o ransomware talvez não desbloqueie o computador.
- A maioria dos ransomware de bloqueio pode ser removida sem deixar vestígios nos computadores afetados usando ferramentas gratuitas, como Norton Power Eraser ou SymHelp.
Ransomware de criptografia: “Pague uma taxa de US$ 300 se não quiser perder seus arquivos”
Em vez de criar leis inexistentes para ameaçar as vítimas, o ransomware de criptografia simplesmente se anuncia como uma tentativa de extorsão, pedindo que a vítima pague uma taxa para que seus arquivos sejam descriptografados.
Os invasores que usam o ransomware de criptografia podem fazer isso porque as vítimas acreditam que eles detêm os arquivos delas. O ransomware de criptografia moderno usa técnicas de criptografia padrão do setor, combinando algoritmos de criptografia simétrica e assimétrica, que possibilitam criptografar os arquivos com mais rapidez e segurança. Isso significa que, uma vez que os arquivos forem criptografados, não haverá uma maneira prática de descriptografá-los sem as chaves necessárias.
O ransomware de criptografia geralmente exige mais conhecimento técnico para ter sucesso. Além do uso de uma criptografia forte, os criminosos cibernéticos por trás desses esquemas estão cientes da necessidade de segurança operacional e tomam as medidas adequadas para ocultar sua infraestrutura de rede na Internet obscura. Esses criminosos também obrigam as vítimas a se comunicarem com eles por meio de redes anônimas, como Tor ou I2P.
Em termos de pagamento, o ransomware de criptografia costuma exigir um valor mais alto do que o ransomware de bloqueio. Geralmente, exige um resgate de US$ 300, embora os valores reais possam variar, dependendo do país. O ransomware de criptografia quase sempre pede pagamento em bitcoins. Sem dúvida, essa medida ajuda a proteger a identidade dos criminosos cibernéticos por trás do esquema.
O segredo para se proteger contra o ransomware de criptografia é, em primeiro lugar, evitar que a criptografia aconteça.
- Use uma boa solução de segurança em camadas para impedir que o ransomware seja instalado no computador ou que se comunique com um servidor remoto.
- Os sistemas de proteção com base em comportamento, heurística e reputação podem ajudar a bloquear a execução de arquivos suspeitos.
- Faça backup dos arquivos e dados importantes com frequência, e mantenha várias cópias em mídias online e offline como garantia.
- Infelizmente, em muitos casos de infecções de ransomware de criptografia, um backup é a única solução prática de recuperação se o computador estiver infectado. Não recomendamos pagar o resgate, pois essa atitude apenas incentiva o crime. Lembre-se que, mesmo que você pague, é possível que os criminosos cibernéticos não consigam descriptografar os arquivos.
Figura 2. Os dois lados do ransomware: multa e taxa.
Ransomware em seu pulso
Como mencionamos no início, as tendências tecnológicas estão começando a gerar novas oportunidades para que os criminosos cibernéticos aumentem o alcance do ransomware. Basta observar a proliferação da tecnologia em nossa casa, para entretenimento, aquecimento, ventilação e ar-condicionado (AVAC), segurança e muito mais. Nosso transporte também foi afetado, uma vez que existem carros inteligentes que são vulneráveis a hackers.
Uma tendência que chamou a atenção do público recentemente é a dos smartwatches. Embora a Google tenha apresentado o sistema operacional Android Wear para smartwatches no início de 2014, o lançamento recente do Apple Watch impulsionou esse setor de forma significativa. Esses lançamentos estão criando um mercado inédito para aplicativos de smartwatches nos quais os desenvolvedores já começaram a se concentrar.
Os dispositivos Android Wear são projetados para serem emparelhados com um dispositivo de funções mais avançadas, como celular ou tablet Android. O sistema operacional permite que os aplicativos Android existentes usem determinados recursos do dispositivo Android Wear, sem exigir esforços adicionais. Mas, se os desenvolvedores realmente quiserem aproveitar os recursos nos dispositivos vestíveis menores, eles poderão criar aplicativos específicos para esses dispositivos.
O processo de instalação de um aplicativo Android Wear foi projetado para ser uma experiência perfeita. Se um aplicativo móvel Android instalado tiver um componente Android Wear ou se tiver sido criado para Android Wear, esse aplicativo será automaticamente enviado do dispositivo móvel para o smartwatch Android Wear.
Figura 3. Os aplicativos Android Wear são instalados no celular e, em seguida, enviados ao smartwatch.
Considerando que já existem ameaças de ransomware em circulação para dispositivos móveis Android, decidimos testar como um dispositivo Android Wear pode ser afetado por um ransomware típico de Android. Para fazer esse teste, simplesmente mudamos o pacote de um arquivo atual .apk de ransomware de Android (Android.Simplocker) em um novo projeto Android Wear para criar um novo arquivo .apk.
Em seguida, emparelhamos um smartwatch Moto 360 com um celular Android. Quando instalamos o novo arquivo .apk no celular, descobrimos que o celular ficou infectado com o ransomware, como esperado. Como o smartwatch foi emparelhado com o celular, o ransomware também foi enviado para o smartwatch. Uma vez instalado no smartwatch, o malware poderia ser executado pelo usuário, se ele caísse na armadilha de executá-lo, pensando que se tratava de um aplicativo útil.
Após a execução do ransomware, o smartwatch ficou totalmente inutilizável. O Simplocker tem uma rotina que verifica a exibição da mensagem de resgate a cada segundo. Caso a mensagem não seja mostrada, ele a envia para a tela novamente. Essa atividade nos impediu de usar o dispositivo. O Simplocker também criptografou uma série de arquivos armazenados no cartão SD do smartwatch. Esse cenário dá origem ao termo “ransomwear”, o ransomware em dispositivos vestíveis.
Assista ao vídeo
Até agora, não vimos um ransomware projetado especificamente para atacar smartwatches. Se estiver curioso para saber como um ransomware funciona, fizemos um vídeo para mostrar como o ransomware Simplocker é instalado em um smartwatch e como ele se comporta nesse relógio.
Recuperação e mitigação
Uma vez que o Simplocker estiver em execução no smartwatch, só será possível desinstalá-lo no celular emparelhado. Se conseguir fazer isso, o Simplocker será automaticamente removido do smartwatch. Se isso não for possível e o celular for redefinido para as configurações de fábrica, você deverá fazer o mesmo no smartwatch. A opção de redefinição de fábrica pode ser acessada apenas no menu do relógio, mas esse menu não ficará acessível enquanto o Simplocker estiver em execução.
Em nossos testes, descobrimos que o dispositivo é desligado quando mantemos o botão de hardware do relógio pressionado durante 30 segundos. Quando o dispositivo é reiniciado, há um intervalo de 20 a 30 segundos antes que o Simplocker volte a funcionar. Esse tempo é suficiente para iniciar o processo de redefinição de fábrica que limpará o smartwatch. A desvantagem é que todos os arquivos do relógio serão perdidos, embora esses arquivos já tenham sido criptografados pela ameaça.
Para reduzir o risco de infecções de malware em dispositivos vestíveis, os usuários devem tomar algumas precauções básicas:
- Evite instalar aplicativos de fontes desconhecidas/não confiáveis.
- Verifique as permissões ao instalar aplicativos para se certificar de que eles são adequados para o tipo de aplicativo instalado. Um jogo, por exemplo, realmente precisa conseguir acessar sua lista de contatos ou enviar um SMS?
- Use uma solução de segurança adequada em seu dispositivo móvel.
- Mantenha seu software atualizado.
- Faça backups frequentes de dados importantes.
Quer saber mais?
Se quiser saber mais sobre os diferentes aspectos do ransomware mencionado neste blog, faça o download e leia nossa documentação técnica: A evolução do ransomware