DM11 [Segurança da Informação]

DM11 [Segurança da Informação]

3 Sumário Executivo

6 Timeline

9 Como o Ransomware Trabalha

13 Tipos de Ransomware

16 Motivação dos Cibercrimes

Prejuízos pelo mundo em 2015/2016

17 Prejuízos no Brasil e a Expectativa

para os Próximos Anos

18 O Cibercriminoso Brasileiro

20
ÍNDICE

Analisando a Geografia dos Usuários Atacados

25 Aspectos Jurídicos

26 Ransomware na Legislação Brasileira

27 Melhores Práticas para Proteger

a sua Empresa de Ransomware

31 Conclusão
DM11 [Segurança da Informação]

Sumário executivo

Ransomware não é algo novo. Ele surgiu em meados de 1989, sua de-
nominação originou-se da aglutinação das palavras ransom (resgate) e
software (código/programa), ou seja, programa de/para resgate, devido
à peculiaridade de sua atuação nos dispositivos tecnológicos.

A grande novidade, no entanto, é sua ascensão meteórica, sendo hoje

uma das formas preferidas de ataque dos cibercriminosos, por ser alta-
mente lucrativo e praticamente sem possibilidade de rastreamento.

Se imagine na seguinte cena: chegando para trabalhar numa manhã

qualquer e, ao ligar seu computador, percebe que todas – sim, TODAS
– as informações que estavam em seus arquivos ou em sua rede não
estão mais disponíveis lá. Em pouco tempo você recebe a comunicação
de que seus dados foram sequestrados e, que para a sua liberação, está
sendo exigido o pagamento de um resgate. Imaginou? Pronto! Você foi
atacado por um ransomware.

Ransomware é um malware, um software malicioso que é secretamente

instalado no dispositivo da vítima. Ele bloqueia ou criptografa os dados
do usuário e/ou da empresa com o objetivo de extorquir dinheiro. E caso
não haja o pagamento do resgate as informações poderão se tornar
DM11 [Segurança da Informação]

públicas ou inacessíveis por causa

BITCOIN
É uma cripto-moeda
descentralizada, ou seja,
permite a transferência
anônima sem nenhum órgão
de regulamentação.
Foi desenvolvida em 2009
por Satoshi Nakamoto.
da criptografia aplicada. Com o sur-
gimento do Bitcoin (moeda usada
para o pagamento do resgate), a
rastreabilidade destes crimes ficou
ainda mais difícil.
É assustador e alarmante o cresci-
mento deste tipo de ataque duran-
te os últimos anos. Em 2016 foram
identificadas e registradas aproxi-
madamente 150 famílias de ran-
somwares com previsão de atingir
170 famílias neste ano. Ainda para
2017, prevê-se o aumento significa-
tivo ao mercado corporativo e ata-
ques em dispositivos móveis como

smartphones e tablets, e até do avanço para os IoTs - Internet of Things

- que traduzimos usualmente para “Internet das Coisas”; qualquer equi-
pamento e dispositivo conectados à rede de dados e internet, e quase
tudo que possui sensores – carros, máquinas em unidades de produção,
equipamentos hospitalares, reatores, perfurações de petróleo, disposi-
tivos “wearable” (são produtos que propõem uma integração cada vez
maior da tecnologia e o ser humano) e muito mais. Essas “coisas” reúnem
e trocam dados diversos, ficando sujeitas a um ataque.

A todo momento, criminosos se empenham fortemente em encontrar

maneiras cada vez mais sofisticadas de enganar usuários da internet
com a finalidade de ganhar dinheiro. E o que vem ganhando cada vez
mais destaque no mundo do cibercrime é justamente o ransomware, cujo
modo de operação foi exemplificado logo no primeiro parágrafo.

O grande problema deste crime é que o usuário somente se dará conta

que foi invadido e roubado quando for impedido de ter acesso aos seus
DM11 [Segurança da Informação]

dados. Porém, pagar o resgate exigido nem sempre garante ter todos os
seus dados de volta. Empresas e pessoas estão sendo extorquidas a pa-
gar altos resgates para a devolução de seus dados pessoais ou corpo-
rativos, sem a garantia de que essa restituição será realmente efetivada.

É sobre tudo isso que iremos falar nas próximas páginas. O que é, como
o ataque acontece, o que fazer em caso de ataque, e, principalmente,
como se proteger.
DM11 [Segurança da Informação]

1989
AIDS Trojan
Infectou cerca de 20 mil
disquetes distruídos numa
conferência sobre Aids.
Criptografava os arquivos
de forma simétrica e exigia

TIMELINE
resgate no valor de US$ 189

2011
Trojan não nomeado
Primeiro ransomware a adotar
predominante serviços de
pagamentos anônimos
2013
CryptoLocker
Primeiro malware criptográfico
espalhado por meio de downloads
em website comprometidos e / ou
na forma de anexos em e-mails
2005
Archievus
Primeiro ransomware a usar
criptografia assimétrica;
Criptografava toda a pasta “Meus
Documentos”. Para descriptografar
arquivos, exigia aos usuários fazer
compras online para obter suas
senhas
2012
Reveton
Alegava ser autoridade legítima
da lei e impedindo que os usuários
acessassem a máquina infectada,
exigindo que uma “multa” fosse
paga para restaurar o acesso
2014
CryptoDefense
Usava criptografia embutida do
Windows (CryptoAPI), criptografia
RSA de 2048 bits e Tor / Bitcoin para
manter anonimato
DM11 [Segurança da Informação]
2014
CryptoWall
Ransomware novo e melhorado dos
criadores do CryptoDefense.
Foi o primeiro a estabelecer
persistência, adicionando chaves de
registro e copiando-se para pastas
de inicialização. Arrecadou cerca de
US$ 325 milhões
2014
CTB-Locker
Primeiro ransomware a se
comunicar diretamente com um
servidor C2 no Tor, bem como
excluir cópias de sombra de volume
no Windows
2015
LockerPin
Primeiro ransomware capaz de
redefinir o PIN nos telefones Android;
Resgates de, em média, US$ 500
2015
Chimera
Primeiro ‘doxing’ ransomware:
ameaçava publicar arquivos
sensíveis ou privados on-line
2016
7ev3n
Exigiu o maior resgate até agora: 13
bitcoins; Foi o primeiro a destruir os
sistemas Windows se o resgate não
fosse pago
2014
Sypeng
Primeiro ransomware para Android
2014
Koler
Considerado primeiro ‘Lockerworm’
2014
SimplLocker
Primeiro ransomware “baseado
em criptografia” para dispositivos
Android. Ele criptografava
os arquivos em telefones e
simplesmente os bloqueava
2015
TeslaCrypt
Primeiro ransomware a permitir
resiliência e persistência em
máquinas infectadas
2015
LowLevel04
Primeiro ransomware a ser
executado manualmente por
atacantes remotamente em
servidores, mapeando sistemas
internos e unidades antes de
distribuir o ransomware; Excluiam
logs de aplicativos, de segurança e
do sistema
2016
Ransomware32
Primeiro ransomware escrito em
JavaScript e a trabalhar em
sistemas operacionais incluindo
Linux, Windows e MacOS X
DM11 [Segurança da Informação]
2016
SamSam (SAMAS)
Primeiro a segmentar servidores
JBoss e incluir um canal para os
criminossos se comunicarem em
tempo real com as vítimas através
de um site .onion
2016
Petya
Entregue via Dropbox; Executa o
Overwrote Master Boot Record
(MBR) em máquinas infectadas
e unidade física criptografada; O
resgate duplica se o pagamento não
for recebido em sete dias
2016
Jigsaw
Primeiro a usar fontes dos filmes
“Jogos Mortais” em sua nota de
resgate; Arquivos são apagados a
cada 60 minutos se o resgate não
for pago; Reiniciar uma máquina já
resultou em 1.000 arquivos excluídos
2016
CyrptXXX
Aparentemente está conectado
à variante Reveton; Tipicamente
observado após infecções Bedep
2016
ZCryptor
Um dos primeiros ‘crypto-worms’
que se auto propaga para infectar
dispositivos externos e outros
sistemas na rede, enquanto também
criptografa cada máquina e unidade
compartilhada
2016
Locky
Se espalha por de campanhas de
phishing agressivas e aproveita a
infra-estrutura Dridex; Foi usado
para infectar hospitais no Kentucky,
Califórnia e Kansas; Iniciou a
tendência ransomware-inhealthcare
2016
KeRanger
Primeiro ransomware para MacOS
X; Assinado com o certificado de
desenvolvimento do MAC, permite
ignorar o software de segurança
Gatekeeper da Apple
2016
Maktub
Primeiro a usar o Crypter para
ocultar e criptografar o código fonte
do malware
2016
PowerWare
Uma nova instância de ransomware
que utiliza ferramentas nativas,
como o PowerShell em sistemas
operacionais; Solicita ao PowerShell,
um utilitário principal de sistemas
Windows atuais, para fazer o
trabalho sujo; Tenta evitar escrever
novos arquivos no disco e tenta se
misturar com a atividade legítima do
computador
DM11 [Segurança da Informação]

Como o ransomware trabalha

Um ataque deste tipo percorre seis etapas em poucos segundos para

atingir seu objetivo:

1
Distribuição
Os scammers utilizam métodos
de distribuição já bem conhecidos
pela maioria da população. São
esquemas de phishing para espa-
lhar o malware, com o uso de links
fraudulentos, anexos de e-mail ou
downloads de arquivos que são
instalados na máquina do usuário
a partir de sites comprometidos.
Essas técnicas, apesar de muito
conhecidas, são bastante efetivas.
Outra plataforma que tem ganha-
do destaque na distribuição de ran-
somware é o Facebook Messenger.
A Check Point, fabricante de equi-
pamentos de segurança, desco-
briu o Locky, um código malicioso
escondido em um JPG. Ao clicar
para visualizar o arquivo, entretan-
to, uma janela surge para escolher
um local para salvar o arquivo. O
arquivo salvo no computador tem
a extensão .HTA e não .JPG. Sem
prestar atenção nesse detalhe,
muitos acabam salvando e abrin-
do o arquivo, deflagrando o Locky.

NOVO GOLPE PELO WHATSAPP

Recentemente usuários mundiais do Whatsapp se tornaram alvo de

um novo golpe envolvendo pesquisas com marcas muito conhecidas.
Cibercriminosos enviam vouchers que oferecem produtos grátis
em restaurantes ou lojas populares, mas para receber o prêmio é
preciso, antes, responder à uma pesquisa. Com a pesquisa completa,
DM11 [Segurança da Informação]

a vítima recebe uma mensagem informando que seu computador ou

dispositivo está infectado com um vírus. A mensagem diz ao usuário
que ele precisa ligar para um certo número de telefone ou seu HD será
deletado. É nesse momento que o golpe se torna um ransomware, pois
os fraudadores exigem o pagamento para a remoção do malware do
sistema, porém, ainda que o pagamento seja feito, o sistema continuará
a espalhar o vírus para seus contatos do Whatsapp.
Tenha atenção ao aceitar novos contatos. Se recebeu uma
mensagem com conteúdo suspeito, delete-a e não aceite adicionar
aos contatos. Se aceitou o contato, o bloqueie e apague todas as
mensagens recebidas dele. Se você completou a pesquisa, procure
imediatamente um serviço especializado para remoção do malware.

2
Infecção
O script malicioso chega no computador do usuário e
inicia os processos necessários ao ataque. Esta etapa
pode variar para incluir técnicas novas e comporta-
mentos mais sofisticados. O CryptoWall 3, um dos mais
conhecidos, por exemplo, age da seguinte forma:
1. Gera um identificador exclusivo para o computador;
2. Certifica um “reboot de sobrevivência”;
3. Instala um programa ao religar a máquina;
4. Desativa cópias e sistemas de reparação e recupera-
ção de erro do Windows;
5. Desativa programas de defesa;
6. Injeta-se no explorer.exe e svchost.exe;
7. Recupera o endereço IP externo.

Um em cada quatro destinatários abre mensagens de phishing e,

surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.
Fonte: CIO, agosto 2016.
DM11 [Segurança da Informação]

5
3 DOC JPG PPT

Criptografia
Aqui os arquivos específicos são
Comunicação
movidos e renomeados, as in-
Para obter uma chave públi-
formações são então “embara-
ca para criptografar os dados, o
lhadas” e não podem mais ser
malware se conecta com servi-
acessadas sem serem descripto-
dores de chave de criptografia.
grafadas.
O CryptoWall 3, por exemplo, se
comunica com um site WordPress
comprometido e relata seu sta-
Scammer é a pessoa que envia
tus. Todo o tráfego de servidor de
/ desenvolve Scams (Phishing
controle é criptografado usando
Scams). Enquanto o SPAM
o algoritmo RC4.
geralmente tenta vender algo,
o Scam tem como objetivo
a obtenção de informações
pessoais da vítima.
4
DOC JPG PPT

Pesquisa de arquivos
Nesta etapa o ransomware procu-
Pedido de resgate
ra sistematicamente por arquivos
Normalmente um aviso (um pop
na máquina, normalmente arqui-
up) aparece na tela do computa-
vos que sejam importantes para
dor infectado exigindo pagamen-
o usuário e que não possam ser
to em Bitcoins. Após o pagamen-
facilmente replicados, como os de
to, a chave poderá ser enviada e
extensões de jpg, docx, xlsx, pptx,
a máquina desbloqueada.
pdf, entre outros.
DM11 [Segurança da Informação]

Phishing (“fíchin”) é uma técnica de fraude online, utilizada para

roubar e extorquir empresas e usuários. A expressão surgiu a
partir da palavra em inglês “fishing”, que significa “pescando”.
Uma tentativa de phishing pode acontecer por meio de websites
ou e-mails falsos, que imitam a imagem de uma empresa confiável
para chamar a atenção das vítimas. Normalmente, os conteúdos
dos sites ou e-mails com phishing prometem promoções
extravagantes ou solicitam que o internauta faça atualização dos
seus dados bancários, evitando o cancelamento da conta, por
exemplo.
DM11 [Segurança da Informação]

TIPOS DE RANSOMWARE

* Encryption Ransomware
O mais temido de todos os ransom-
wares, pois ele criptografa todos os
dados do computador (documen-
tos, vídeos, fotos, músicas, planilhas,
etc). Todos os arquivos afetados se
tornam inacessíveis e no local pode
haver um documento de texto exi-
gindo resgate ou ao tentar abrir
os arquivos é exibida a mensagem
para pagamento e liberação. Esse
tipo de Ransomware pode exibir
pop-ups (janelas de mensagens)
ou não. Para exemplificar houve um
caso ocorrido na FedEx, nos EUA,
que se tornou um dos mais famo-
sos deste tipo e se deu por meio de
um arquivo disfarçado de PDF, en-
viado via e-mail.
DM11 [Segurança da Informação]

* Lock Screen Ransomware —

WinLocker
Bloqueia a tela do computador e
exige pagamento do resgate para
liberar a máquina.
Ele apresenta uma imagem em tela
cheia que bloqueia todas as outras
janelas.
Nenhum arquivo pessoal é cripto-
grafado.

* Master Boot Record (MBR)

Ransomware
O Master Boot Record (MBR) é a par-
te do disco rígido do computador
que permite que o sistema opera-
cional inicialize. O MBR ransomware
altera o MBR do computador para
que o processo de inicialização nor-
mal seja interrompido solicitando
um código para que a questão seja
sanada.

* Ransomware encrypting web servers

Tem como alvo os servidores web com o objetivo de criptografar/se-
questrar os dados presentes nestes servidores. Os sistemas de gestão de
conteúdo web possuem vulnerabilidades conhecidas que são exploradas
frequentemente por ransomwares.
DM11 [Segurança da Informação]

* Mobile device ransomware

(Android)
Dispositivos móveis (principalmen-
te Android) podem ser infectados
através de aplicativos falsos que se
disfarçam como serviços como o
Adobe Flash ou antivírus. Este ran-
somware bloqueia a tela e exige pa-
gamento para liberação.
DM11 [Segurança da Informação]

MOTIVAÇÃO DOS CIBERCRIMES

PREJUÍZOS PELO MUNDO EM 2015 / 2016

689 milhões.
Este é o número de pessoas afetadas, somente em 2016, por crimes ci-
bernéticos, revelado por empresas do mercado em seus relatórios anuais.
Os prejuízos chegam a US$125 bilhões mundiais, um “negócio” lucrativo
para os crackers. No Brasil, o número de vítimas chegou a cerca de ¼
dos habitantes: 42,4 milhões de vítimas.

Números que assustam e tornaram 2016 “O Ano do Ransomware”, atin-

gindo um crescimento de 500% das invasões desse tipo e US$209 mi-
lhões pagos somente no primeiro trimestre do ano, de acordo com o site
Systweak.

Os números evidenciam que o cibercrime é hoje um dos maiores proble-

mas atuais e tende a piorar durantes os próximos anos com os avanços
tecnológicos e as novas tendências do mercado. É fácil prever que o nú-
mero de alvos será cada vez maior numa sociedade sempre conectada
e servidores corporativos ou máquinas com informações sensíveis são
os alvos preferidos dos criminosos.
DM11 [Segurança da Informação]

A Kaspersky, provedora russa de soluções de segurança, prevê que a

América Latina será um dos maiores alvos desse tipo de golpe, sobre-
tudo no sequestro de computadores bancários e outras empresas do
mercado financeiro, pois, nestes casos, o resgate exigido pode ser maior
e ainda exercer mais pressão sobre as vítimas.

PREJUÍZOS NO BRASIL
E A EXPECTATIVA PARA
OS PRÓXIMOS ANOS

Em pesquisa da KasperskyLab, o
Brasil é o país latino americano que
atualmente mais sofre ataques
ransomware. Aponta ainda algo
preocupante: apenas 34% das em-
presas nacionais sabe reconhecer
esse tipo de ataque. Empresas fi-
nanceiras, instituições acadêmicas,
agências do governo, indústrias e
até hospitais; qualquer organiza-
ção é um alvo potencial.
DM11 [Segurança da Informação]

Para 2017 a precisão é que campanhas maliciosas que utilizam o ransom-

ware aumentem e sofistiquem ainda mais os ataques. Uma nova moda-
lidade deve ganhar força: o Ransomware das Coisas (RoT – Ransomware
of Things), com ameaças criadas exclusivamente para o sequestro dos
dados de dispositivos do dia-a-dia conectados à internet.

Um caso emblemático, ocorrido em 2016, envolveu um Centro Médico

em Hollywood. Após a infecção, o sistema ficou inoperante e obrigou a
instituição a ceder à pressão e pagar o resgate exigido pelos cibercrimi-
nosos. O valor, pago em Bitcoins, equivalia a US$ 17 mil. Mas vale destacar
aqui que, na maioria dos casos, o pagamento não garante que a empre-
sa volte a ter controle sobre as informações ou sistemas sequestrados.

Em 2017 os ataques a dispositivos móveis, especialmente Android, devem

ganhar força. No último ano foram criadas cerca de 200 variantes de
códigos maliciosos para infectar equipamentos deste tipo.

O CIBERCRIMINOSO
BRASILEIRO

Basicamente são
dois tipos de perfil:

Desenvolvedores
São jovens, na maioria estudantes e adquiriram suas habilidades na es-
cola, classificados como “a mente” por trás das invasões. Possuem co-
nhecimento prático em criação de software. A Trend Micro, empresa de
segurança digital, levantou dados que mostram que um estudante de
ciência da computação, conhecido como Lordfenix, de 20 anos, morador
do Tocantins, criou mais de 100 cavalos de Troia bancários e os vende
por uma média de US$ 300, cerca de R$ 924.
DM11 [Segurança da Informação]

Operador
São pessoas que compram as ferramentas maliciosas criadas pelos de-
senvolvedores e procuram meios de faturar alto com estes recursos,
usando-os contra suas vítimas. Elas controlam os botnets e cuidam da
operacionalização do ataque.
DM11 [Segurança da Informação]

ANALISANDO A GEOGRAFIA DOS USUÁRIOS

ATACADOS

Nesta análise geográfica dos ataques, é importante termos em mente

que os dados são influenciados pela distribuição de clientes da Kasper-
skyLab em todo o mundo.
Para entender exatamente onde a maioria dos usuários atacados vive,
usamos métricas especiais: a porcentagem de usuários atacados com
ransomware dentre todos os usuários atacados com qualquer tipo de
malware. Isto dá uma imagem mais precisa do cenário de ameaças, algo
que a comparação direta entre usuários atingidos por ransomware em
cada território não dá.
Em 2014-2015, a lista de países com a maior cota de usuários atacados
com ransomware era a seguinte:

6.99% 6.23% 5.87% 4.69% 4.63% 3.86% 3.77% 3.00% 2.60% 2.07%

Cazaquistão Argélia Ucrânia Itália Rússia Vietnã Índia Alemanha Brasil Estados
Unidos
DM11 [Segurança da Informação]

Países com o maior número de usuários atacados com ransomware dentre

todos os usuários atacados por qualquer tipo de malware em 2014-2015.
Cazaquistão, Argélia, Ucrânia, Itália e Rússia encabeçam a lista com mais
de 4% dos usuários atacados. Um ano depois a situação mudou signifi-
cantemente: a Índia passou do sétimo para o primeiro lugar, com 9,6%
dos usuários. A Rússia alcançou 6,41%, seguida do Cazaquistão, Itália, Ale-
manha, Vietnã e Argélia. No ano anterior estes países estavam nas últi-
mas posições do ranking de 10 posições.

Países com o maior número de usuários atacados com ransomware den-

tre todos os usuários atacados por qualquer tipo de malware em 2015-
2016.

9.60% 6.41% 5.75% 5.25% 4.26% 3.96% 3.90% 3.72% 3.72% 1.41%

Índia Rússia Cazaquistão Itália Alemanha Vietnã Argélia Brasil Ucrânia Estados
Unidos

Destes, Índia, Brasil, Rússia e Alemanha lideram a lista de países com o

maior crescimento em número de usuários atacados, enquanto Estados
Unidos, Vietnã, Argélia, Ucrânia e Cazaquistão não tiveram queda consi-
derável.

Variação ano-a-ano no número de usuários atacados com qualquer tipo

de ransomware
48.33%

54.33% 126.18%
2014/2015 2014/2015 2014/2015
562190 143973 107755
867651 325638 55679
2015/2016 2015/2016 2015/2016
Rússia Índia Estados
Unidos

7.12% 43.3%

35.65%
2014/2015 2014/2015 2014/2015
102289 96092 69220
138750 89247 39246
2015/2016 2015/2016 2015/2016
Alemanha Vietnã Ucrânia
DM11 [Segurança da Informação]

37.53% 37.43%

19.7%
2014/2015 2014/2015 2014/2015

62719 61623 49400

39179 38530 59130
2015/2016 2015/2016 2015/2016
Cazaquistão Argélia Itália

60.46%
2014/2015
43674
70078
2015/2016
Brasil

Os números acima evidenciam a mudança na categoria Trojan-Ransom.

Se olharmos mais profundamente para os números de usuários ataca-
dos com Trojan-Ransom que sofreram com ataques de ransomware de
criptografia, a imagem será muito diferente.

Variação na percentagem de usuários atacados com ransomware de

criptgrafia dentre os ataques com qualquer tipo de malware, entre 2014
e 2016
2014/2015 2014/2015 2014/2015
6.09% 3.34% 14.27%
20.43% 6.93% 39.79 %
2015/2016 2015/2016 2015/2016
Rússia Índia Estados
Unidos

2014/2015 2014/2015 2014/2015

4.64% 2.32% 1.34%
94.41% 22.87% 28.86%
2015/2016 2015/2016 2015/2016
Alemanha Vietnã Ucrânia

2014/2015 2014/2015 2014/2015

1.14% 1.18% 8.93%
25.59% 13.48% 89.7%
2015/2016 2015/2016 2015/2016
Cazaquistão Argélia Itália

2014/2015 2014/2015
2.56% 41.16%
31.83% 46.3%
2015/2016 2015/2016
Brasil Outros
DM11 [Segurança da Informação]

Os dez países acima representam 64,14% dos usuários que encontraram

algum tipo de ransomware e 52,83% dos que sofreram com ataques crip-
tográficos. Em 2015 e 2016, esses números subiram para 64,57% e 61,32%
respectivamente.

O gráfico deixa claro que entre 2014 e 2015 os ransomwares de criptogra-

fia representavam, na maioria dos países (exceto Estados Unidos), ainda
uma porcentagem pequena dos ataques. Um ano depois, o ransomware
de criptografia ganhou muito mais evidência no cenário, crescendo para
até mais de 20% em alguns países, como Brasil e Estados Unidos. Em ou-
tros países, como Alemanha e Itália, o ransomware de criptografia virou
sinônimo da categoria Trojan-Ransom.

Para concluir a questão geográfica, podemos dizer que enquanto, de

forma geral, o número de usuários atacados com Trojan-Ransom mal se
alterou, o quantitativo real de usuários atacados alcançou dois dígitos.
Embora o número exato de usuários atacados com qualquer tipo de ran-
somware diminuiu em alguns países, não há nenhum na lista que tenha
mostrado redução na cota de usuários atacados com ransomware de
criptografia.

Todavia os dados acima não esclarecem a questão: Será que o número

real de usuários atacados com ransomware de criptografia realmente
aumentou nesses países ou é o aumento da cota de usuários atacados
com criptografia simplesmente o resultado de um número decrescente
de usuários sendo atacado com bloqueadores?

A resposta é sim! E em alguns países, como Alemanha, Brasil, Ucrânia,

Cazaquistão e Itália, a taxa de crescimento foi extremamente alta, o que
obviamente significa que os usuários, especialmente nestes países de-
vem ser extremamente cautelosos ao navegar na web. Como mostra o
gráfico a seguir:
DM11 [Segurança da Informação]

Taxa de crescimento dos usuários atacados com ransomware de crip-

tografia nos 10 principais países com maior proporção de usuários de
2014 a 2016
+20,36
+19,99

Alemanha

Brasil

+14,00

+12,02 +12,17

Cazaquistão

+9,15
Itália Ucrânia

+7,14

+5,18 Vietnã

+4,49 +4,70
Argélia
+1,44
Rússia
Outros Índia

Estados
Unidos
DM11 [Segurança da Informação]

ASPECTOS JURÍDICOS
A denominação de Crime Cibernético, adotada pelo Tratado do Conselho
Europeu (Convenção de Budapeste), define que como ato litigioso prati-
cado por intermédio de dispositivos informáticos/eletrônicos de forma a
garantir escala global nos resultados.
Este tratado foi assinado por 43 países e ratificado por 21 nações, mas o
Brasil não assinou, nem ratificou o documento até hoje.

Basicamente temos três classificações principais para crimes cibernéti-

cos:
• Impuros ou Impróprios: Quando o dispositivo é utilizado apenas como
instrumento para execução de um crime tradicional. Como os crimes de
honra previstos no Código Penal: calúnia (art. 138), difamação (art. 139) ou
injúria (art. 140), utilizando, por exemplo, as redes sociais ou e-mails.

• Puros ou Próprios: Quando o crime visa interferir, não a pessoa, mas um

dispositivo e seus dados. Por exemplo, interromper um serviço de comu-
nicação e dificultar seu restabelecimento (art. 266. §1º CP).

• Mistos: São crimes complexos envolvendo mais de um interesse, e um

deles sendo dados armazenados e processados em sistemas computa-
cionais. Algo como qualquer invasão a um dispositivo alheio e violação
de seu mecanismo de segurança com o objetivo de obter, adulterar ou
destruir dados sem autorização. Instalar vulnerabilidades como meio de
obter vantagem ilícita, como o pedido de resgate, também se enquadra
nesta classificação (Art.154-A CP).
DM11 [Segurança da Informação]

RANSOMWARE NA LEGISLAÇÃO BRASILEIRA

Em 2013 passou a vigorar a lei 12.737, elaborada no ano anterior, tipifican-

do crimes cibernéticos que passaram a ser amparados em esfera penal,
e não mais na cível, com a adição do já citado art. 154-A no Código Penal
Brasileiro.

Com isso a pena para os infratores passou a ser de três meses a um ano
de detenção e multa, podendo ser agravada se houver prejuízo econô-
mico. Caso haja divulgação, comercialização ou transmissão dos dados a
terceiro, a pena pode ser aumentada em um ou dois terços. O ataque a
órgãos ou pessoas ligadas diretamente ao governo é ainda outro agra-
vante previsto pela lei, podendo chegar a 10 anos de reclusão e multa.

Com a tipificação dos cibercrimes no Código Penal e o funcionamento

do ransomware, surgiu a expressão “Extorsão Digital” ou “Criptoviral”, fa-
zendo alusão ao pedido de resgate e criando a expressão “sequestro de
dados”.

O § 2º, do Art. 154-A, prevê o pre-

juízo patrimonial causado à ví-
tima e mesmo sua tentativa. Po-
deria-se facilmente enquadrar o
ransomware neste artigo, mas o
ordenamento jurídico brasileiro
adota o Princípio da Consunção
ou Absorção: incluir algo menor
em algo maior. Assim, este tipo de
crime ainda é enquadrado nos ar-
tigos 158 e 154-A do Código Penal;
extorsão e invasão de dispositivo,
respectivamente.
DM11 [Segurança da Informação]

MELHORES PRÁTICAS PARA PROTEGER A SUA

EMPRESA DE RANSOMWARE

1. Faça backups dos dados regularmente.

Verifique a integridade de seus backups e testando também o pro-
cesso de restauração para garantir que ele está funcionando. Se
possível mantenha uma cópia isolada remotamente, sem nenhum
tipo de conexão ao computador ou ambiente infectado.

2. Proteja seus backups off-line

Se você for infectado, manter backups off-line pode ser a única ma-
neira de recuperar seus dados sem ter que ceder à extorsão. Ga-
ranta que os backups não permaneçam conectados permanente-
mente à rede e aos computadores que estão fazendo backup.
Certifique-se de manter sempre o plano de restauração (Restore de
Dados) atualizado e testado para que, quando precisar, ele esteja
pronto para ser utilizado. “Dados salvos, mas sem condições de uso
de nada adiantam”

3. Implemente um programa de Sensibilização em Segurança da

Informação
Todos os usuários de computadores, dispositivos móveis e IoTs são
alvos de cibercriminosos.
Promover palestras de sensibilização para todos os colaboradores
da empresa, pode ajudar na conscientização do uso da internet,
DM11 [Segurança da Informação]

e-mails e dos dispositivos móveis dentro da organização, além do

entendimento sobre a ameaça do ransomware e como ele pode
chegar a qualquer usuário.

4. Tenha e mantenha atualizada uma Política de Segurança

Política de Segurança é a lei que norteia as ações dentro de uma
empresa. Ter uma política de segurança é condição fundamental
para se estabelecer os limites do que pode e do que não pode ser
realizado na sua organização, seja ela uma indústria, companhia de
serviços ou organização do terceiro setor. Todos precisam de uma
política personalizada e atualizada constantemente, pois os negó-
cios, as tecnologias, as situações e os processos mudam o tempo
todo. Mas lembre-se: de nada adianta uma política, se as pessoas
não a conhecerem e nem souberem que devem segui-la, portanto,
em sequência complementar do Programa de Sensibilização, divul-
gue a Política de Segurança, cobre a aderência de todos formal-
mente e, obrigatoriamente, dê capacitação às pessoas.

5. Garanta um Plano de Continuidade de Negócios

O que você vai fazer quando algo der errado?
Planejar a Continuidade de Negócios, caso seja atacado por um Ran-
somware, é tão prioritário quanto estabelecer os limites do que é um
incidente e do que é, e deve ser tratado, como puramente operacio-
nal. Elaborar um bom plano que garanta a continuidade do negócio
depois do incidente, depende do entendimento dos impactos sobre a
organização. Defina adequadamente estratégias que façam sentido,
sem prejudicar o orçamento. Pense em como organizar as pessoas
em torno de um modelo que permita definir e desenvolver atividades
(atendimento aos clientes e ações administrativas, por exemplo) sem a
tecnologia necessária, sem o próprio prédio ou sem pessoas das quais
se depende num dia típico. É certo que um bom plano não prescinde
dos seus testes e modelos de implantação, mas criá-lo é vital para que
se saiba o que fazer em momentos de exceção.

6. Desabilite o RDP
O malware Cryptolocker/Filecoder (um tipo de ransomware), em ge-
DM11 [Segurança da Informação]

ral possui como alvo máquinas que utilizam o Remote Desktop Pro-
tocol (RDP), uma funcionalidade do Windows que permite o acesso
remoto. Se você não precisa utilizar o RDP, você pode desabilitar
essa função e proteger a máquina do Filecoder e outros exploits
conhecidos que explorem esta vulnerabilidade.

7. Redes Segregadas
Avalie a possibilidade de segmentar sua rede de dados. Isto ajudará
a prevenir a propagação de malwares. Novas variantes de Ransom-
ware propagam rapidamente pela rede de dados.

8. Gerenciamento de Patches
Considere o uso de um sistema de gerenciamento de patches cen-
tralizado. Manter atualizados os sistemas operacionais, software e
firmwares dos dispositivos podem ajudar na prevenção. Caso não
seja possível, mantenha o seu sistema operacional, anti-malware, fi-
rewall, Adobe Flash Player, Java, navegadores e outros softwares
sempre atualizados.

9. Evite abrir e-mails desconhecidos para fugir de Spams

97% dos ransomwares são entregues por meio de phishing. Se achar
o e-mail suspeito não abra.

10. Ative os filtros de spam para evitar que e-mails de phishing che-
guem aos usuários finais
Utilize de técnicas de autenticação de e-mails recebidos como Sen-
der Policy Framework (SPF), Domain-based Message Authentication,
Reporting and Conformance (DMARC) e Domain Keys Identified Mail
(DKIM) podem ajudar a evitar falsificações.

11. Bloqueie anúncios

Muitas vezes os ransomwares são distribuídos através de anúncios
maliciosos e pop-ups em sites duvidosos, por exemplo. O bloqueio
dos anúncios pode ajudar a reduzir o risco.
DM11 [Segurança da Informação]

12. Princípio do “menor privilégio”

Considere utilizar o “princípio do menor privilégio” na sua empresa.
“Tudo que não é explicitamente permitido é proibido”.
Nenhum usuário deve estar atribuído como administrador a menos
que seja absolutamente necessário.

13. Avalie utilizar antivírus NGAV (Next Generation Antivírus).

A próxima geração de antivírus tem a capacidade de examinar os
processos e identificar comportamento malicioso para bloquear os
malwares e ataques malwareless.

14. Use whitelisting

O whitelisting ao contrário do blacklisting, permite que apenas códi-
gos pré-aprovados funcionem, negando a entrada de qualquer exe-
cutável que não esteja cadastrado. Como funciona em nível execu-
tável, o whitlisting não vai responder a um arquivo não listado, assim
só programas conhecidos e permitidos pela política de segurança
irão rodar na máquina do usuário.

15. Análises de Vulnerabilidade e Teste de Intrusão

A prevenção é a melhor arma. Realize análises de vulnerabilidade
no seu ambiente frequentemente e ao menos uma vez por ano um
Teste de Intrusão.

A análise de vulnerabilidade tem por objetivo identificar as fragilida-

des de segurança no ambiente tecnológico, visando a implementação
de controles que irão proteger suas informações e seus respectivos
negócios. Tal ação visa detectar falhas em diversos componentes
como: aplicações, softwares, equipamentos, sistemas operacionais,
dentre outros.

O Teste de Intrusão simula as ações de um hacker contra os ambientes

tecnológicos, visando a identificação de eventuais falhas críticas de se-
gurança, subsidiando assim, a implementação de um “plano de ação/
melhoria’’ e contemplando recomendações de controles de segurança.
DM11 [Segurança da Informação]

CONCLUSÃO

O ransomware surgiu em meados

1986
Primeiro ransomware
conhecido, o Trojan AIDS
(também conhecido como
PC Cyborg), é escrito por
Joseph Popp
2005
Em maio surge o ransomware
com extorsão
dos anos 1989 e é considerado a
maior praga cibernética dos últimos
anos, com uma taxa de crescimen-
to assustadora que já atinge a casa
de dois dígitos e a previsão não é
nada boa para os próximos anos,
tornando qualquer usuário em alvo
potencial.

2006
Em meados de 2006,
Apesar de seu crescimento verti-
worms como o Gpcode, ginoso, a técnica para encontrar
TROJANRANSOM A,
Archiveus, Krotten, Cryzip e suas vítimas ainda é o phishing via
MayArchive, começam a usar
esquemas de encriptação
e-mails fraudulentos ou campanhas
RSA mais sofisticados de anúncios falsos, em sua maio-
ria, portanto, fique sempre atento
a contatos desconhecidos que en-
2011
Um ransomware do tipo viam anexos sem muito sentido, ou
worm imita um aviso
de Ativação de Produto
se depois de um clique num ban-
Windows ner for solicitado o download de um
executável ou extensão estranha.
2013
Um worm ransomware Com o grande crescimento no mer-
baseado no Stamp EK
explora o Mac OS X e assim cado de dispositivos móveis e ainda
surge um novo worm. O o advento dos aparelhos eletrônicos
CryptoLocker arrecadou
cerce de U$S 5 milhões nos conectados à internet (internet das
últimos meses daquele ano
coisas), um novo e vasto campo de
atuação está aberto aos cibercrimi-
2015 nosos que já criam malwares e es-
Múltiplas variantes em
múltiplas plataformas
tratégias mais sofisticadas para in-
causam cada vez mais danos vadir estes dispositivos. Quem não
DM11 [Segurança da Informação]

se lembra do caso envolvendo a atriz Carolina Dieckmann e resultou na

lei homônima?

O “sequestro de dados”, como conhecido popularmente, já causou prejuí-

zos de bilhões de dólares somente entre 2015 e 2016 em muitas empresas
em todo o globo. No Brasil, esta modalidade de crime já está prevista em
nosso Código Penal desde 2012 e é encarada como extorsão por meios
digitais. A pena pode chegar a até 10 anos de reclusão mais multa, mas
com o resgate exigido em Bitcoins, rastrear o criminoso é tarefa quase
impossível.

A grande lição aqui é que todo cuidado é pouco e a melhor maneira de

se proteger é a prevenção. Seguir um guia de boas práticas é crucial para
evitar danos patrimoniais ou mesmo exposição de informações sensíveis.
Backups frequentes, redes segregadas, políticas de segurança, Análises
de Vulnerabilidade e Testes de Intrusão são algumas maneiras de sair
ileso a este tipo de ataque.
DM11 [Segurança da Informação]

SOBRE A DM11

Atuante na América Latina, a DM11 [Segurança da Informação] é uma

empresa brasileira que provêm serviços de combate ao crime cibernéti-
co e na gestão de processos para a Continuidade dos Negócios.

Nossos profissionais entendem o senso de urgência do cibercrime e po-

dem ajudar sua empresa a atingir um nível mais alto na Segurança, Dis-
ponibilidade e Confidencialidade de suas informações.

+55 (11) 4837-5758 Avenida Engenheiro Luis Carlos Berrini,1140,

7º andar, Brooklin, São Paulo / SP
CEP: 04571-000
contato@dm11.com.br

www.dm11.com.br/comofazer

CONHEÇA MAIS

www.dm11.com.br