​Há uma nova geração de vírus sequestrando discos rígidos no Brasil

Enquanto você aproveitava o feriadão de 7 de setembro, vários profissionais de segurança da informação não tinham a mesma sorte. Renato Marinho, pesquisador da Morphus Lab, foi um dos que não conseguiu desfrutar da tão merecida folga. Naquela quarta-feira, ele atendia a um chamado em uma empresa multinacional com sede no Brasil que sofria um tipo de ataque cada vez mais comum. Os computadores da companhia haviam sido infectados por um ransomware – uma espécie de vírus que criptografa os arquivos de uma pessoa e pede resgate financeiro para liberá-los. Funcionou, como todos os vírus do tipo, quase como um sequestro virtual. No caso do malware em questão, porém, o rapto era bastante peculiar, inédito. "As máquinas impactadas pelo malware apresentavam a mensagem de resgate na tela de inicialização, antes mesmo da carga do sistema operacional", conta o pesquisador.

Esta característica, explica Marinho, não é comum em ataques com ransomware. Em geral o sistema operacional é carregado e só então a mensagem do hacker é exibida. Em alguns casos, há até um timer que indica quanto tempo a vítima tem para pagar o resgate e as instruções de pagamento. Hackers com maior toque artístico chegam a incluir ilustrações para indicar a seriedade da ameaça. No Mamba, contudo, a mensagem era concisa e sóbria. Havia apenas indicações de como entrar em contato com o "sequestrador" e um número para identificar o usuário infectado. No caso:

You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOURID: 123152

As análises seguintes realizadas por Marinho e sua equipe em laboratório constataram que o criptovírus trazia o Disk Cryptor embutido em seu código. Quando executado, o malware encriptava todo o disco rígido, imobilizando-o. Tal efeito motivou a escolha do nome do Ransomware: Mamba. Era uma analogia entre o efeito paralisante do veneno da cobra mamba, uma das mais perigosas do mundo, e o que o novo ransomware causa nos computadores de suas vítimas.

"Provavelmente, esta estratégia de encriptar a partição por inteiro visa vencer a proteção que alguns software de antivírus implementam contra os ransomwares convencionais", observou o pesquisador. Outras famílias de criptovírus buscam sequestrar arquivos específicos dentro de um sistema operacional. Podem ser imagens, arquivos de texto, planilhas, tudo depende da família do vírus e da finalidade do atacante. No caso do Mamba, o alvo é o disco rígido de servidores.

A parte mais complicada da análise foi descobrir como rolou a, digamos, contaminação. "É muito difícil apontar como foi a forma que o vírus infectou o sistema da empresa", comentou Marinho. Para ele, as formas mais prováveis de entrada no ambiente da empresa não foge muito do padrão das infecções com outros malwares. "Provavelmente através de arquivos executáveis, macros em planilhas ou mesmo e-mails infectados", sugere.

Uma vez no sistema, o Mamba não ataca diretamente. Segundo observado pela pesquisa de Marinho, ele coleta informações do sistema silenciosamente. Faz isso em busca de credenciais que possibilitem infectar outras máquinas dentro da mesma rede até conseguir acesso ao disco rígido de um servidor. Ao atingir o objetivo, criptografa este HD. "Este novo método levantou a suspeita de estarmos diante de uma nova geração de ransomwares de criptografia completa de discos", diz Marinho.

O aumento da sofisticação nesses ataques é uma tendência no cenário de cibercrime global. Segundo a pesquisa The Reign of Ransomware, realizada pela empresa de segurança Trend Micro, foram descobertas 29 novas famílias de criptovírus no ano de 2015, número que subiu para 79 apenas no primeiro semestre de 2016. No mesmo período, pelo menos 168 empresas brasileiras sofreram extorsão por meio do uso de ransomwares. A Kaspersky, por sua vez, divulgou que o Brasil é o principal alvo de ransomwares entre os países latino-americanos.

Apesar das autoridades aconselharem as vítimas a não pagar o resgate exigido, às vezes não há outra escolha. Casos desse tipo foram noticiados nos Estados Unidos, quando o sistema de hospitais foram encriptados impedindo que os dados de prontuários de pacientes fossem acessados.

No Brasil, o município de Pratânia, no interior paulista, foi alvo de um dos ataques mais famosos com ransomware. Na ocasião, o vírus instalado vinha com uma mensagem cobrando US$ 3 mil. A opção da prefeitura foi não pagar os chantagistas – nunca identificados – e perder os dados salvos no sistema, incluindo informações bancárias dos seus funcionários. Assim, tiveram que refazer a folha de pagamento com ajuda do banco pelo qual efetuavam os pagamentos. O dinheiro que poderia ter ido para a mão dos criminosos foi usado para investir em novos equipamentos e segurança contra possíveis golpes. "Este mercado de ameaças está muito quente e a tendência é aumentar, pois o tipo de ataque é muito lucrativo", observou André Alves, conselheiro técnico da Trend Micro.

Alvez explica que, diferentemente de países como Estados Unidos, Rússia e China, a particularidade no Brasil é a dissociação entre os operadores dos golpes e os desenvolvedores do malware. "Estes operadores praticamente não tem conhecimento técnico, eles compram as ferramentas para os ataques."

De acordo com pesquisa de campo do consultor, metade dos ransomware vendidos no underground brasileiro garantem que não são detectáveis. Alguns chegam a ser negociados junto de painéis de administrador, um programa para que o golpista possa monitorar a situação do pagamento e da infecção de seus alvos. Parece, diz, um sistema empresarial.

E o pagamento pelos ransomware pode ser feito via aluguel. Um interessado no golpe pode comprar um malware do tipo e pagar pelas semanas de uso. "Soubemos de um caso em que são pagos US$ 3 mil por semana pela estrutura de ransomware com garantia de um determinado alcance e uma média de retorno", apontou Alves. Para ele, a partir deste valor é possível imaginar o quanto é lucrativo este tipo de crime.

Antes da popularização dos ransomware, a forma mais comum de ataques no Brasil eram os trojans bancários. Como o nome sugere, este tipo de ameaça tem como alvo as informações financeiras e os dados bancários da vítima. "Aqui o malware sempre esteve mais relacionado ao sistema financeiro, mas com o ransomware não há esta seleção", afirma Alves. O consultor observa que empresas de qualquer segmento, bem como usuários domésticos podem ser o alvo. "Uma vez que qualquer empresa terá dados valiosos, basta o criminoso chegar a ela e esperar que seja pago o resgate."

Embora no Brasil o maior número seja de operadores, o país começa também a ter seus primeiros ransomware. O criptovírus nacional, descoberto no início deste ano, foi feito com base em um tipo já conhecido e com código aberto no Github, o Hidden Tear. Os arquivos criptografados utilizando esse vírus recebem a extensão ".locked".

"É possível que comecemos a ver em breve ransomwares que busquem atacar também dados armazenados na nuvem", comentou Alves. Outras tendências, diz ele, são criptovírus únicos que ataquem diversas plataformas, popularização de ransomwares com o código aberto como o Hidden Tear, – possibilitando que mais pessoas o repliquem – e aumento no preço dos resgates.

Para o consultor de segurança, a maior dificuldade ao lidar com cibercrimes está na investigação – na maior parte das vezes, é algo totalmente digital. "As provas coletadas acabam sendo basicamente o HD da máquina, isso se a polícia conseguir apreendê-la", diz. Muitas vezes, para que prisões aconteçam, é necessária cooperação internacional, já que nem sempre o atacante está no mesmo país que sua vítima.

Na tentativa combater o crescimento exponencial destas ameaças foram criadas iniciativas como o No More Ransom!, uma parceria de empresas de segurança com a Europol. O site explica maneiras de se prevenir e, para aqueles que foram infectados, é possível conferir se já existem maneiras de descriptografar os arquivos sequestrados. Apesar da boa intenção da iniciativa, é bastante complexo manter uma plataforma desse tipo 100% atualizada, uma vez os ataques e a complexidade dos ransomware crescem a cada dia. Na dúvida, a melhor ideia é seguir a primeira recomendação do No More Ransom!: "Back-up! Back-up! Back-up!"