Escolar Documentos
Profissional Documentos
Cultura Documentos
3 Sumário Executivo
6 Timeline
13 Tipos de Ransomware
18 O Cibercriminoso Brasileiro
20
ÍNDICE
25 Aspectos Jurídicos
31 Conclusão
DM11 [Segurança da Informação]
Sumário executivo
Ransomware não é algo novo. Ele surgiu em meados de 1989, sua de-
nominação originou-se da aglutinação das palavras ransom (resgate) e
software (código/programa), ou seja, programa de/para resgate, devido
à peculiaridade de sua atuação nos dispositivos tecnológicos.
dados. Porém, pagar o resgate exigido nem sempre garante ter todos os
seus dados de volta. Empresas e pessoas estão sendo extorquidas a pa-
gar altos resgates para a devolução de seus dados pessoais ou corpo-
rativos, sem a garantia de que essa restituição será realmente efetivada.
É sobre tudo isso que iremos falar nas próximas páginas. O que é, como
o ataque acontece, o que fazer em caso de ataque, e, principalmente,
como se proteger.
DM11 [Segurança da Informação]
1989
AIDS Trojan
Infectou cerca de 20 mil
disquetes distruídos numa
conferência sobre Aids.
Criptografava os arquivos
de forma simétrica e exigia
TIMELINE
resgate no valor de US$ 189
2005
Archievus
Primeiro ransomware a usar
criptografia assimétrica;
Criptografava toda a pasta “Meus
Documentos”. Para descriptografar
2011 arquivos, exigia aos usuários fazer
compras online para obter suas
Trojan não nomeado senhas
Primeiro ransomware a adotar
predominante serviços de
pagamentos anônimos 2012
Reveton
Alegava ser autoridade legítima
da lei e impedindo que os usuários
2013 acessassem a máquina infectada,
exigindo que uma “multa” fosse
CryptoLocker paga para restaurar o acesso
Primeiro malware criptográfico
espalhado por meio de downloads
em website comprometidos e / ou
na forma de anexos em e-mails
2014
CryptoDefense
Usava criptografia embutida do
Windows (CryptoAPI), criptografia
RSA de 2048 bits e Tor / Bitcoin para
manter anonimato
DM11 [Segurança da Informação]
2014
CryptoWall 2014
Ransomware novo e melhorado dos
criadores do CryptoDefense. Sypeng
Foi o primeiro a estabelecer Primeiro ransomware para Android
persistência, adicionando chaves de
registro e copiando-se para pastas
de inicialização. Arrecadou cerca de
2014
US$ 325 milhões Koler
Considerado primeiro ‘Lockerworm’
2014
CTB-Locker
Primeiro ransomware a se 2014
comunicar diretamente com um SimplLocker
servidor C2 no Tor, bem como Primeiro ransomware “baseado
excluir cópias de sombra de volume em criptografia” para dispositivos
no Windows Android. Ele criptografava
os arquivos em telefones e
2015 simplesmente os bloqueava
LockerPin
Primeiro ransomware capaz de
redefinir o PIN nos telefones Android; 2015
Resgates de, em média, US$ 500 TeslaCrypt
Primeiro ransomware a permitir
2015 resiliência e persistência em
máquinas infectadas
Chimera
Primeiro ‘doxing’ ransomware:
ameaçava publicar arquivos 2015
sensíveis ou privados on-line LowLevel04
Primeiro ransomware a ser
2016 executado manualmente por
atacantes remotamente em
7ev3n servidores, mapeando sistemas
Exigiu o maior resgate até agora: 13 internos e unidades antes de
bitcoins; Foi o primeiro a destruir os distribuir o ransomware; Excluiam
sistemas Windows se o resgate não logs de aplicativos, de segurança e
fosse pago do sistema
2016
Ransomware32
Primeiro ransomware escrito em
JavaScript e a trabalhar em
sistemas operacionais incluindo
Linux, Windows e MacOS X
DM11 [Segurança da Informação]
2016
SamSam (SAMAS)
Primeiro a segmentar servidores 2016
JBoss e incluir um canal para os
criminossos se comunicarem em Locky
tempo real com as vítimas através Se espalha por de campanhas de
de um site .onion phishing agressivas e aproveita a
infra-estrutura Dridex; Foi usado
2016 para infectar hospitais no Kentucky,
Califórnia e Kansas; Iniciou a
Petya tendência ransomware-inhealthcare
Entregue via Dropbox; Executa o
Overwrote Master Boot Record
(MBR) em máquinas infectadas 2016
e unidade física criptografada; O
KeRanger
resgate duplica se o pagamento não
Primeiro ransomware para MacOS
for recebido em sete dias
X; Assinado com o certificado de
desenvolvimento do MAC, permite
2016 ignorar o software de segurança
Jigsaw Gatekeeper da Apple
Primeiro a usar fontes dos filmes
“Jogos Mortais” em sua nota de 2016
resgate; Arquivos são apagados a
cada 60 minutos se o resgate não Maktub
for pago; Reiniciar uma máquina já Primeiro a usar o Crypter para
resultou em 1.000 arquivos excluídos ocultar e criptografar o código fonte
do malware
2016
CyrptXXX
Aparentemente está conectado 2016
à variante Reveton; Tipicamente
observado após infecções Bedep PowerWare
Uma nova instância de ransomware
que utiliza ferramentas nativas,
2016 como o PowerShell em sistemas
ZCryptor operacionais; Solicita ao PowerShell,
Um dos primeiros ‘crypto-worms’ um utilitário principal de sistemas
que se auto propaga para infectar Windows atuais, para fazer o
dispositivos externos e outros trabalho sujo; Tenta evitar escrever
sistemas na rede, enquanto também novos arquivos no disco e tenta se
criptografa cada máquina e unidade misturar com a atividade legítima do
compartilhada computador
DM11 [Segurança da Informação]
1
conhecidas, são bastante efetivas.
Outra plataforma que tem ganha-
do destaque na distribuição de ran-
somware é o Facebook Messenger.
A Check Point, fabricante de equi-
Distribuição pamentos de segurança, desco-
Os scammers utilizam métodos briu o Locky, um código malicioso
de distribuição já bem conhecidos escondido em um JPG. Ao clicar
pela maioria da população. São para visualizar o arquivo, entretan-
esquemas de phishing para espa- to, uma janela surge para escolher
lhar o malware, com o uso de links um local para salvar o arquivo. O
fraudulentos, anexos de e-mail ou arquivo salvo no computador tem
downloads de arquivos que são a extensão .HTA e não .JPG. Sem
instalados na máquina do usuário prestar atenção nesse detalhe,
a partir de sites comprometidos. muitos acabam salvando e abrin-
Essas técnicas, apesar de muito do o arquivo, deflagrando o Locky.
2
Infecção
O script malicioso chega no computador do usuário e
inicia os processos necessários ao ataque. Esta etapa
pode variar para incluir técnicas novas e comporta-
mentos mais sofisticados. O CryptoWall 3, um dos mais
conhecidos, por exemplo, age da seguinte forma:
1. Gera um identificador exclusivo para o computador;
2. Certifica um “reboot de sobrevivência”;
3. Instala um programa ao religar a máquina;
4. Desativa cópias e sistemas de reparação e recupera-
ção de erro do Windows;
5. Desativa programas de defesa;
6. Injeta-se no explorer.exe e svchost.exe;
7. Recupera o endereço IP externo.
5
3 DOC JPG PPT
Criptografia
Aqui os arquivos específicos são
Comunicação
movidos e renomeados, as in-
Para obter uma chave públi-
formações são então “embara-
ca para criptografar os dados, o
lhadas” e não podem mais ser
malware se conecta com servi-
acessadas sem serem descripto-
dores de chave de criptografia.
grafadas.
O CryptoWall 3, por exemplo, se
comunica com um site WordPress
comprometido e relata seu sta-
Scammer é a pessoa que envia
tus. Todo o tráfego de servidor de
/ desenvolve Scams (Phishing
controle é criptografado usando
Scams). Enquanto o SPAM
o algoritmo RC4.
geralmente tenta vender algo,
o Scam tem como objetivo
a obtenção de informações
pessoais da vítima.
4
DOC JPG PPT
Pesquisa de arquivos
Nesta etapa o ransomware procu-
Pedido de resgate
ra sistematicamente por arquivos
Normalmente um aviso (um pop
na máquina, normalmente arqui-
up) aparece na tela do computa-
vos que sejam importantes para
dor infectado exigindo pagamen-
o usuário e que não possam ser
to em Bitcoins. Após o pagamen-
facilmente replicados, como os de
to, a chave poderá ser enviada e
extensões de jpg, docx, xlsx, pptx,
a máquina desbloqueada.
pdf, entre outros.
DM11 [Segurança da Informação]
TIPOS DE RANSOMWARE
* Encryption Ransomware
O mais temido de todos os ransom-
wares, pois ele criptografa todos os
dados do computador (documen-
tos, vídeos, fotos, músicas, planilhas,
etc). Todos os arquivos afetados se
tornam inacessíveis e no local pode
haver um documento de texto exi-
gindo resgate ou ao tentar abrir
os arquivos é exibida a mensagem
para pagamento e liberação. Esse
tipo de Ransomware pode exibir
pop-ups (janelas de mensagens)
ou não. Para exemplificar houve um
caso ocorrido na FedEx, nos EUA,
que se tornou um dos mais famo-
sos deste tipo e se deu por meio de
um arquivo disfarçado de PDF, en-
viado via e-mail.
DM11 [Segurança da Informação]
689 milhões.
Este é o número de pessoas afetadas, somente em 2016, por crimes ci-
bernéticos, revelado por empresas do mercado em seus relatórios anuais.
Os prejuízos chegam a US$125 bilhões mundiais, um “negócio” lucrativo
para os crackers. No Brasil, o número de vítimas chegou a cerca de ¼
dos habitantes: 42,4 milhões de vítimas.
PREJUÍZOS NO BRASIL
E A EXPECTATIVA PARA
OS PRÓXIMOS ANOS
Em pesquisa da KasperskyLab, o
Brasil é o país latino americano que
atualmente mais sofre ataques
ransomware. Aponta ainda algo
preocupante: apenas 34% das em-
presas nacionais sabe reconhecer
esse tipo de ataque. Empresas fi-
nanceiras, instituições acadêmicas,
agências do governo, indústrias e
até hospitais; qualquer organiza-
ção é um alvo potencial.
DM11 [Segurança da Informação]
O CIBERCRIMINOSO
BRASILEIRO
Basicamente são
dois tipos de perfil:
Desenvolvedores
São jovens, na maioria estudantes e adquiriram suas habilidades na es-
cola, classificados como “a mente” por trás das invasões. Possuem co-
nhecimento prático em criação de software. A Trend Micro, empresa de
segurança digital, levantou dados que mostram que um estudante de
ciência da computação, conhecido como Lordfenix, de 20 anos, morador
do Tocantins, criou mais de 100 cavalos de Troia bancários e os vende
por uma média de US$ 300, cerca de R$ 924.
DM11 [Segurança da Informação]
Operador
São pessoas que compram as ferramentas maliciosas criadas pelos de-
senvolvedores e procuram meios de faturar alto com estes recursos,
usando-os contra suas vítimas. Elas controlam os botnets e cuidam da
operacionalização do ataque.
DM11 [Segurança da Informação]
6.99% 6.23% 5.87% 4.69% 4.63% 3.86% 3.77% 3.00% 2.60% 2.07%
Cazaquistão Argélia Ucrânia Itália Rússia Vietnã Índia Alemanha Brasil Estados
Unidos
DM11 [Segurança da Informação]
9.60% 6.41% 5.75% 5.25% 4.26% 3.96% 3.90% 3.72% 3.72% 1.41%
Índia Rússia Cazaquistão Itália Alemanha Vietnã Argélia Brasil Ucrânia Estados
Unidos
54.33% 126.18%
2014/2015 2014/2015 2014/2015
562190 143973 107755
867651 325638 55679
2015/2016 2015/2016 2015/2016
Rússia Índia Estados
Unidos
7.12% 43.3%
35.65%
2014/2015 2014/2015 2014/2015
102289 96092 69220
138750 89247 39246
2015/2016 2015/2016 2015/2016
Alemanha Vietnã Ucrânia
DM11 [Segurança da Informação]
37.53% 37.43%
19.7%
2014/2015 2014/2015 2014/2015
60.46%
2014/2015
43674
70078
2015/2016
Brasil
2014/2015 2014/2015
2.56% 41.16%
31.83% 46.3%
2015/2016 2015/2016
Brasil Outros
DM11 [Segurança da Informação]
Alemanha
Brasil
+14,00
+12,02 +12,17
Cazaquistão
+9,15
Itália Ucrânia
+7,14
+5,18 Vietnã
+4,49 +4,70
Argélia
+1,44
Rússia
Outros Índia
Estados
Unidos
DM11 [Segurança da Informação]
ASPECTOS JURÍDICOS
A denominação de Crime Cibernético, adotada pelo Tratado do Conselho
Europeu (Convenção de Budapeste), define que como ato litigioso prati-
cado por intermédio de dispositivos informáticos/eletrônicos de forma a
garantir escala global nos resultados.
Este tratado foi assinado por 43 países e ratificado por 21 nações, mas o
Brasil não assinou, nem ratificou o documento até hoje.
Com isso a pena para os infratores passou a ser de três meses a um ano
de detenção e multa, podendo ser agravada se houver prejuízo econô-
mico. Caso haja divulgação, comercialização ou transmissão dos dados a
terceiro, a pena pode ser aumentada em um ou dois terços. O ataque a
órgãos ou pessoas ligadas diretamente ao governo é ainda outro agra-
vante previsto pela lei, podendo chegar a 10 anos de reclusão e multa.
6. Desabilite o RDP
O malware Cryptolocker/Filecoder (um tipo de ransomware), em ge-
DM11 [Segurança da Informação]
ral possui como alvo máquinas que utilizam o Remote Desktop Pro-
tocol (RDP), uma funcionalidade do Windows que permite o acesso
remoto. Se você não precisa utilizar o RDP, você pode desabilitar
essa função e proteger a máquina do Filecoder e outros exploits
conhecidos que explorem esta vulnerabilidade.
7. Redes Segregadas
Avalie a possibilidade de segmentar sua rede de dados. Isto ajudará
a prevenir a propagação de malwares. Novas variantes de Ransom-
ware propagam rapidamente pela rede de dados.
8. Gerenciamento de Patches
Considere o uso de um sistema de gerenciamento de patches cen-
tralizado. Manter atualizados os sistemas operacionais, software e
firmwares dos dispositivos podem ajudar na prevenção. Caso não
seja possível, mantenha o seu sistema operacional, anti-malware, fi-
rewall, Adobe Flash Player, Java, navegadores e outros softwares
sempre atualizados.
10. Ative os filtros de spam para evitar que e-mails de phishing che-
guem aos usuários finais
Utilize de técnicas de autenticação de e-mails recebidos como Sen-
der Policy Framework (SPF), Domain-based Message Authentication,
Reporting and Conformance (DMARC) e Domain Keys Identified Mail
(DKIM) podem ajudar a evitar falsificações.
CONCLUSÃO
2006
Em meados de 2006,
Apesar de seu crescimento verti-
worms como o Gpcode, ginoso, a técnica para encontrar
TROJANRANSOM A,
Archiveus, Krotten, Cryzip e suas vítimas ainda é o phishing via
MayArchive, começam a usar
esquemas de encriptação
e-mails fraudulentos ou campanhas
RSA mais sofisticados de anúncios falsos, em sua maio-
ria, portanto, fique sempre atento
a contatos desconhecidos que en-
2011
Um ransomware do tipo viam anexos sem muito sentido, ou
worm imita um aviso
de Ativação de Produto
se depois de um clique num ban-
Windows ner for solicitado o download de um
executável ou extensão estranha.
2013
Um worm ransomware Com o grande crescimento no mer-
baseado no Stamp EK
explora o Mac OS X e assim cado de dispositivos móveis e ainda
surge um novo worm. O o advento dos aparelhos eletrônicos
CryptoLocker arrecadou
cerce de U$S 5 milhões nos conectados à internet (internet das
últimos meses daquele ano
coisas), um novo e vasto campo de
atuação está aberto aos cibercrimi-
2015 nosos que já criam malwares e es-
Múltiplas variantes em
múltiplas plataformas
tratégias mais sofisticadas para in-
causam cada vez mais danos vadir estes dispositivos. Quem não
DM11 [Segurança da Informação]
SOBRE A DM11
www.dm11.com.br/comofazer
CONHEÇA MAIS
www.dm11.com.br