Briefing de Sinal / Tendências Institucionais Globais

3 etapas principais de um ataque de ransomware

O cibercrime vem aumentando há anos e não mostra sinais de desaceleração. Embora os ciberataques antes fossem focados em grandes empresas, agora todos — desde pequenos empresários a funcionários de governos locais e indivíduos — precisam ficar atentos. Um dos tipos mais comuns de ciberataque é o ransomware. Ra…

3 etapas principais de um ataque de ransomware
CategoriaTendências Institucionais Globais

3 etapas principais de um ataque de ransomware é rastreado como uma instituição de infraestrutura da internet dentro do ecossistema de infraestrutura da internet.

RegiãoÁsia-Pacífico
Foco no SinalGovernança
Tipo de conteúdoEvento
Domínio PrimárioMercado
TópicoGovernança
ImpactoMédio
ConfiançaConfiança limitada (80%)

Várias fontes públicas

3 etapas principais de um ataque de ransomware é perfilado pela BTW Media porque evidências publicadas o vinculam à infraestrutura da internet, governança, dependências operacionais ou visibilidade de mercado.

  • Ransomware é um tipo de vírus de computador, também chamado de software malicioso ou malware, que bloqueia seu computador e envia um alerta exigindo pagamento para a devolução dos seus dados.
  • Um ataque de ransomware pode seguir as mesmas 3 etapas principais, incluindo vetores de infecção e distribuição, criptografia de dados e exigência de resgate.
  • No entanto, diferentes ransomwares podem incluir implementações diferentes ou etapas adicionais.

O cibercrime vem aumentando há anos e não mostra sinais de desaceleração. Embora os ciberataques antes fossem focados em grandes empresas, agora todos — desde pequenos empresários a funcionários de governos locais e indivíduos — precisam ficar atentos.

Um dos tipos mais comuns de ciberataque é o ransomware. O ransomware pode bloquear os dados do seu computador e mantê-los como reféns até que você pague um resgate ao atacante. Esses ataques podem ser devastadores se você não estiver devidamente preparado.

O que é ransomware?

Ransomwareé um tipo de malware que criptografa reversivelmente arquivos no seu computador. Embora muitos indivíduos e empresas criptografem seus arquivos rotineiramente por segurança, o ransomware é problemático porque o atacante — e não o dono do computador — possui a chave de descriptografia. Isso significa que os usuários não podem acessar seus arquivos a menos que o hacker os descriptografe.

Em um ataque típico de ransomware, o hacker se oferece para descriptografar seus arquivos por um preço. Este é o resgate no ataque, e pode variar de centenas de dólares para um indivíduo a milhões para uma grande corporação.

Alguns ransomwares excluem seus arquivos após um período de tempo específico e predeterminado, o que pressiona as vítimas a pagar rapidamente. Em outros ataques de ransomware, o atacante também rouba cópias dos seus dados e ameaça divulgá-los se você se recusar a pagar. Esse tipo de ataque de ransomware pode ser particularmente problemático para grandes empresas e agências governamentais que armazenam dados sensíveis.

Leia também:Quantos Registros Regionais da Internet (RIRs) existem?

Como funciona um ataque de ransomware?

Para ser bem-sucedido, o ransomware precisa obter acesso a um sistema alvo, criptografar os arquivos nele e exigir um resgate da vítima.

Embora os detalhes de implementação variem de uma variante de ransomware para outra, todas compartilham as mesmas três etapas principais.

1. Vetores de infecção e distribuição

O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de várias maneiras diferentes. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos.

Phishing: Este é o tipo mais popular de engenharia social e continua sendo o principal vetor de ataque para todos os tipos de malware. Os atacantes inserem links e anexos maliciosos em e-mails de aparência legítima para enganar os usuários e fazê-los instalar malware sem saber. Smishing, vishing, spear phishing e ataques de watering hole são todas formas de phishing e golpes de engenharia social que os atacantes usam para enganar as pessoas e iniciar a instalação de malware.

Abuso de RDP e credenciais: Isso envolve o uso de ataques de força bruta ou credential stuffing, ou a compra de credenciais na dark web, para fazer login em sistemas como usuários legítimos e, em seguida, infectar a rede com malware.RDP, um favorito dos atacantes, é um protocolo que permite que administradores acessem servidores e desktops de praticamente qualquer lugar e permite que usuários acessem remotamente seus desktops. No entanto, implementações de RDP mal protegidas são um ponto de entrada comum para ransomware.

Vulnerabilidades de software: Estas também são um alvo frequente para infecções de ransomware. Os atacantes infiltram-se nos sistemas das vítimas atacando software desatualizado ou sem patch. Um dos maiores incidentes de ransomware da história, oWannaCry, está ligado ao exploit EternalBlue, uma vulnerabilidade em versões sem patch do protocolo Server Message Block (SMB) do Windows.

Leia também:O que entender sobre os endereços IPv6 da APNIC?

2. Criptografia de dados

Após obter acesso a um sistema, o ransomware pode começar a criptografar seus arquivos. Como a funcionalidade de criptografia está embutida no sistema operacional, isso simplesmente envolve acessar os arquivos, criptografá-los com uma chave controlada pelo atacante e substituir os originais pelas versões criptografadas. A maioria das variantes de ransomware é cautelosa na seleção dos arquivos a serem criptografados para garantir a estabilidade do sistema. Algumas variantes também tomam medidas para excluir cópias de backup e sombra dos arquivos para dificultar a recuperação sem a chave de descriptografia.

3. Exigência de resgate

Assim que a criptografia dos arquivos estiver completa, o ransomware está pronto para fazer uma exigência de resgate. Diferentes variantes de ransomware implementam isso de várias maneiras, mas não é incomum que o papel de parede da tela seja alterado para uma nota de resgate ou que arquivos de texto sejam colocados em cada diretório criptografado contendo a nota de resgate. Normalmente, essas notas exigem uma quantia fixa de criptomoeda em troca do acesso aos arquivos da vítima.

Se o resgate for pago, o operador do ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa descriptografador (também fornecido pelo cibercriminoso) que pode ser usado para reverter a criptografia e restaurar o acesso aos arquivos do usuário.

Embora essas 3 etapas principais existam em todas as variantes de ransomware, diferentes ransomwares podem incluir implementações diferentes ou etapas adicionais. Por exemplo, variantes de ransomware como o Maze realizam varredura de arquivos, informações de registro e roubo de dados antes da criptografia, e o ransomware WannaCry procura por outros dispositivos vulneráveis para infectar e criptografar.

Briefing de Sinal

  • Sinal: 3 etapas principais de um ataque de ransomware
  • Região: Ásia-Pacífico
  • Classe de Mercado: Tendências Institucionais Globais

Presença Operacional

  • As fontes publicadas devem identificar as partes afetadas, a abrangência operacional e a exposição de mercado antes que este mapa de tendências seja considerado completo.

Contexto de Mercado

  • Relevância operacional: Médio
  • Horizonte temporal: Próximo trimestre

O que assistir

  • Fique atento a declarações oficiais, atualizações regulatórias, exposição de clientes ou parceiros e divulgações de acompanhamento.

Briefing para Membros

Contexto de Tendência Aprofundado

Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.

Apenas para Strategic Circle

Strategic Circle

Aberto a todos os leitores. Desbloqueie Briefings de tendências após se inscrever e fazer login.

Junte-se ao Strategic Circle

Somente para Leadership Alliance

Leadership Alliance

Para operadores, investidores e equipes de políticas que precisam de evidências de relacionamento, caminhos de falha e notas de origem. Faça login para desbloquear.

Junte-se ao Leadership Alliance
VoltarMais Cobertura: Tendências Institucionais Globais