O Ransomware

A revolução tecnológica do mundo em que vivemos e que se traduz em inúmeros benefícios para a vida quotidiana quer ao nível pessoal quer profissional vive cada vez mais ensombrada por ameaças ao bom funcionamento dos sistemas e tecnologias que utilizamos. Concretamente ao nível do software são constantes, e cada vez mais sofisticadas, as ameaças. Se na origem da massificação dos sistemas a principal ameaça reconhecida era o tradicional “vírus”, atualmente devemos referir-nos ao malware como “fenómeno” baseado em software e cujo principal objetivo é afetar o funcionamento de outro software e consequente dos sistemas como um todo.

O presente artigo pretende centrar-se ao nível de um tipo de malware especifico, o ransomware, contudo para que esta “tecnologia” seja melhor entendida importa primeiro enquadrar o tema do malware de forma mais ampla. A nomenclatura tem como origem a conjugação das palavras “MALicious” e “softWARE”, cuja tradução do inglês é programa malicioso. Trata-se de código informático criado para provocar o bloqueio parcial ou total de dados ou programas mediante um processo ilícito, de infiltração em dispositivos informáticos.

Dentro do universo dos malwares existem diversos tipos como é o caso dos worms, os tradicionais vírus, os trojans (cavalo de tróia), mas também rootkits, spyware, adware, ransomware, entre outros programas maliciosos. Não sendo intuito entrar em grande detalhe sobre cada um destes tipos importa salientar que a consciência da existência dos mesmos é ponto fundamental para evitar comportamentos de risco por parte dos utilizadores que traduzem em fragilidades e vulnerabilidades dos sistemas alvo dos mesmos.

De referir que a partir de 2011, a maioria das ameaças de malware ativos foram worms ou cavalos de troia, em vez de vírus. Desta forma, o malware é conhecido como um agente contaminador de computadores e outros dispositivos e surge muitas vezes disfarçado, ou escondido dentro de arquivos não maliciosos.

De forma a facilitar a compreensão e distinção de cada um dos tipos de malware apresenta-se seguidamente uma lista com explicação sucinta do funcionamento e impacto dos mesmos.

-Vírus: este tipo clássico de malware, propaga-se nos dispositivos alojando-se e replicando-se, através de cópias de si mesmo, e tornando-se parte de outros programas e ficheiros de um computador ou outro tipo de dispositivo. A propagação do vírus depende da execução dos ficheiros hospedeiros para que possa continuar o processo de contaminação. A forma mais vulgar de contaminação é, tal como na maioria do malware, através de mensagens de correio eletrónico nomeadamente por via de ficheiros anexos;

Worm: tem como particularidade a capacidade de se propagar automaticamente através de redes informáticas, transmitindo cópias de si mesmo entre dispositivos. Diferente do vírus, o worm não replica cópias de si mesmo noutros programas ou ficheiros, e também não necessita ser executado para que se opere a sua propagação que acontece através da exploração de vulnerabilidades existentes nos sistemas ou através de falhas na configuração de software instalado nos dispositivos;

Trojan (cavalo de troia): transmite-se por via de mecanismos aparentemente inofensivos e caracteriza-se por executar funções ou operações que vão para além do que é percebido pelo seu utilizador. Na perspetiva do malware tratam-se de operações ocultas e ilícitas com objetivos maliciosos;

Keylogger: Trata-se de um tipo de malware que captura e armazena as teclas “pressionadas” pelo utilizador no teclado do seu dispositivo. Normalmente, ativa-se mediante a identificação de uma operação do utilizador de acesso a um site de comércio eletrónico ou banca eletrónica tendo como principal objetivo a captura de senhas de acesso ou referencias de cartões de crédito;

Screenlogger: Trata-se de uma evolução ao keylogger, que tem a capacidade de capturar e armazenar a posição do cursor e a interface apresentada no écran;

-Spyware: Tipo de malware cujo objetivo é monitorizar atividades realizadas no sistema e enviar essa informação para terceiros. Embora haja programas com funcionalidade identica com finalidade de utilização licita (desde logo por serem de utilização intencional) no caso importa referir os que, por se instalarem de forma dissimulada e não autorizada, se traduzem numa atuação maliciosa e ilícita;

Adware: projetado para apresentar publicidade indesejada. Frequentemente revela-se em processos de instalação de novos programas de software;

Backdoor: Um tipo de malware que permite a um atacante aceder posteriormente a um computador comprometido através desse programa escondido;

Exploits: Tem como característica principal a possibilidade de explorar vulnerabilidades existentes em determinados programas;

Packet-Sniffers: embora sejam muitas vezes utilizados de forma licita por equipas de administração de sistemas, são utilizados por hackers para capturar e armazenar dados em comunicação pela rede. Na perspetiva do malware são utilizados não para monitorizar o estado da comunicação, mas para capturar informações sensíveis (como senhas e passwords ou outras comunicações confidenciais);

Port-Scanners: Mecanismos que permitem percorrer redes de computadores, com o objetivo de identificar através de computadores e serviços ativos vulnerabilidades de proteção dos mesmos;

Rootkit: Programa ou conjunto de programas cuja finalidade é alojar de forma dissimulada a presença de um invasor num dispositivo comprometido. Apesar do nome, não é usado para obter acesso privilegiado (root ou administrador) num computador, mas sim para manter o acesso privilegiado a um computador previamente comprometido;

Bot: Além de incluir funcionalidades comuns aos worms, implementa mecanismos de comunicação com o invasor, permitindo dessa forma que o programa seja controlado de forma remota. Ao comunicar com o bot, o invasor, pode comandá-lo, capturando dados desse dispositivo ou mesmo usá-lo como ponte para atacar outros computadores ou até enviar spam;

Estatísticas indicam que a partir de 2012, aproximadamente 60% a 70% de todo o malware ativo é utilizado como meio de fraude e com objetivos de enriquecimento ilícito por parte do seu produtor ou terceiro por seu mando.  É neste contexto que surge o ransomware cujo objetivo é não só destabilizar ou perturbar a utilização da tecnologia, mas também o da obtenção de benefícios financeiro através da recolha de resgate tal como veremos mais à frente. Conceito importante neste contexto é o Bitcoin. Trata-se de uma rede que funciona de forma consensual e através da qual foi possível criar uma nova, e cada vez mais alternativa, forma de pagamento através de uma moeda completamente digital. De facto, trata-se da primeira rede de pagamento descentralizada (ponto-a-ponto) onde os utilizadores gerem o próprio sistema, sem necessidade de intermediários ou de uma autoridade supervisora central. Na perspetiva do utilizador, de forma simples o Bitcoin funciona como dinheiro para a Internet muito embora a sua disseminação comece a assumir finalidades mais diversas inclusive em termos de investimento.

Um relatório da IBM Security apresenta uma estatística de incidentes de segurança 1do ano de 2017 em função da tipologia de malware. É visível a evolução e densificação de ataques, 73 no total, bem como o aumento do impacto financeiro dos mesmos para o negócio (representado pelo tamanho das bolhas no gráfico da esquerda). No que respeita ao ponto central do presente artigo, o ransomware verifica-se a sua grande representativa quer em termos absolutos quer em termos relativos. Esta vertente do artigo relativa ao ransomware que representa mais de 20% em termos absolutos será dissecada mais à frente.

O que é Ransomware

À semelhança de todo o tipo de ameaças, o ransomware é um tipo de malware criado com o objetivo de se infiltrar em sistemas informáticos sem a perceção do utilizador. Ao alojar-se no sistema o ransomware executa um processo criptográfico ou de compactação de dados com password bloqueando desta forma o acesso aos mesmos e, em alguns casos, impossibilitando dessa forma a utilização do dispositivo infetado. Uma vez concluído o processo de contaminação é despoletado um mecanismo de exibição de imagens e mensagens que notificam o utilizador do sistema sobre como efetuar o desbloqueio e resgate do sistema. Fundamentalmente o resgate é efetuado contra o pagamento de um valor traduzido em bitcoins. Na perspetiva do atacante este sistema de pagamentos é que lhe confere um maior nível de anonimato sobre as transações realizadas evitando dessa forma que processos de investigação permitam identifica-lo.

O ransomware resulta da conjugação das palavras ransom (de resgate) e software (programa), ou seja, programa cuja finalidade será obter um resgate. Este nome surgiu devido à forma Sui-generis como este atua nos dispositivos e sistemas informáticos. Daqui resultou a expressão “sequestro” de dados, interpretada como um acto de bloquear, inutilizar ou inviabilizar o acesso a dados, através de práticas de extorsão digital ou cripto-viral, ou seja, actos para obter vantagem financeira ilícita por via de pagamento em troca da libertação dos dados e dos sistemas. Por este facto, e particularidade, assume-se hoje como a ameaça cibernética que traduz maior rentabilidade para os seus “implementadores” motivo pelo qual resulta muito preocupante a escalada de numero de casos quer a nível nacional quer transnacional.

ransomware é propagado das mais variadas formas, seja por intermédio de acesso a sites “suspeitos” que libertam código malicioso apenas com a visita do utilizador, através de ficheiros dissimulados (música, imagens, documentos, etc.), habitualmente transmitidos através de redes sociais ou por correio eletrónico associados a temas variados e que despertam o interesse do utilizador alvo. Muito frequente é também ocorrer a sua infiltração através da instalação de novos programas nos dispositivos ou associados a outros mecanismos de intrusão como é o caso dos port-scanners. O facto de o ransomware se dissimular e aparecer por ficheiros comuns impede a sua deteção por ferramentas antivírus tradicionais, elevando a sua perigosidade a um grau alarmante devido ao seu agressivo modus-operandi.

O resgate e o bitcoin

Após a intrusão do programa no sistema, o ransomware opera de forma silenciosa geralmente sem a perceção do utilizador até que todos os seus componentes para bloqueio de dados sejam instalados. Uma vez finalizada a instalação geralmente surge uma mensagem (janela ou pop-up) a informar sobre o bloqueio dos dados e resgate a ser pago para libertação dos mesmos.

3

A partir deste momento e até que o resgate seja pago os dados e programas do dispositivo ficam inacessíveis. Um estudo publicado pela IBM aponta alguns dados relevantes sobre o impacto do ransomware no universo do malware. Refere o estudo que durante o ano de 2016 cerca de 40% do SPAM transmitido por email constituía um veículo de disseminação de ransomware os resgates reverteram 1 bilião de USD para os “atacantes”.

O mesmo estudo refere ainda que apenas 50% dos utilizadores do segmento consumo afectados por ataques de ransomware aceitam pagar o resgate sendo que neste caso o valor equilibrado do resgate é o garante dos objectivos dos atacantes. De acordo com o estudo referido o preço médio que os consumidores estão dispostos a pagar ronda os 100 USD. Ao nível empresarial é referido que 70% dos responsáveis aceita pagar o resgate para resolver o ataque e que neste segmento cerca de 50% pagou cerca de 10.000 USD e 20% acima de 40.000 USD os valores. Numa auscultação efectuada a um conjunto de empresas Portuguesas que foram alvo recente de ataques de ransomware o valor do resgate rondou entre 1 e 4 bitcoin o que na data da realização deste trabalho representam uma conversão entre 1.865,12 EUR e 7.460,48 EUR.

Das empresas anteriormente referidas a quantidade de bitcoin do resgate tem vindo a diminuir como reflexo do “equilíbrio” necessário entre o valor em bitcoin e o contravalor em EUR. A sofisticação deste “negócio” faz com que o serviço ao “cliente” (vitima) seja também uma preocupação para maximizar o pagamento de resgate. Na verdade, através da disponibilização de mecanismos de apoio à vitima o atacante assegura que este dispõe de toda a informação necessária ao desfecho do processo. Um estudo da F-Secure refere que a este nível é também comum o atacante estar disponível para diálogo com vista a negociar o preço do resgate.

O gráfico seguinte demonstra a evolução da conversão de bitcoin em USD durante o ano de 2017.

4

Verifica-se, que recentemente atingiu o seu valor mais alto superando a barreira dos 2.446 USD por cada bitcoin. Percebe-se que desde o inico do ano e num espaço de 5 meses o valor mais que triplicou. A este facto de grande valorização não será alheio o ataque massivo de ransomware ocorrido no passado dia 12 de Maio, denominado WannaCry, e que se estima terá infectado mais de 200.000 endpoints e mais de 150 países explorando uma vulnerabilidade dos sistemas Windows. Este fator de valorização do bitcoin tem sustentado muito interesse por parte de investidores que vem nesta moeda uma boa opção de investimento.

Refere ainda o estudo publicado pela IBM que de entre a comunidade de utilizadores 55% dos Pais pagariam o resgate para retomar o acesso a fotografias sendo que, dos utilizadores sem filhos este indicador diminui para 39%.

Para cumprir os preceitos tradicionais do resgate, também aqui o factor data e hora limite são conjugados com o valor a pagar de forma a criar pressão sobre a vitima. A informação relativa às instruções para desbloqueio do sistema incluem geralmente uma data e hora limite para efetivação do pagamento, sendo que na maior parte dos casos a informação aparece em cotagem decrescente de forma a potenciar a angustia da vitima influenciando a precipitação para o pagamento. Tal como o valor pode ser negociado, também o prazo pode ser negociado com o atacante. O objetivo ultimo é sempre maximizar o valor dos resgates que são pagos sendo que, para tal a flexibilidade é um factor determinante.

Tipos de Ransomware

Há um conjunto de variantes de ransomware identificadas de acordo com o seu método de atuação nomeadamente no pós-infeção. Esses tipos têm vindo a ser estudados e mapeados ao longo do tempo por empresas especializadas em segurança informática e organismos no domínio da investigação e segurança da informação, o que permite proporcionar, ainda que na maior parte das vezes de forma reativa, o desenvolvimento e aperfeiçoamento de ferramentas para reversão do bloqueio dos dados aplicáveis a alguns dos casos. Segundo a organização internacional No More Ransom existem 5 tipos principais de Ransomware:

-Encryption Ransomware: encripta pastas e ficheiros contendo documentos, folhas de cálculo, fotografias e vídeos. Uma vez encriptados os ficheiros afectados são apagados e na mesma localização aparece um ficheiro de texto com as instruções para o processo de resgate;

-Lock Screen Ransomware — WinLocker: neste caso é apresentado ao utilizador uma imagem em ecrãn completo que impede o acesso a outras janelas e aplicações. Este écran, aviso apresenta as instruções para o processo de resgate. Neste caso não há lugar a encriptação de ficheiros;

– Master Boot Record (MBR) Ransomware: a MBR é a parte do disco-duro do computador que permite o carregamento do sistema operativo. Este tipo de ransomware altera a MBR do dispositivo infectado provocando a interrupção do processo de carregamento do sistema operativo;

– Ransomware encrypting web servers: tal como induzido pelo seu nome ataca, encriptando ficheiros e pastas em servidores de páginas/sítios web;

-Mobile device ransomware: Tipologia associada a ataques em dispositivos e sistemas operativos móveis mais frequentemente em sistemas operativos Android que geralmente são infetados por processos de “drive-by download” ou mesmo através de aplicações falsas mascaradas de aplicações oriundas de fabricantes credíveis (como por exemplo Adobe) ou mesmo aplicações de anti-virus.

Dentro destas tipologias enquadram-se depois as famílias de ransomware cuja evolução de acordo com a F-Secure foi muito alavancada em 2013 através do Cryptlolocker.

5

Medida preventivas e correctivas

Não obstante segurança total ser um conceito utópico e que neste aspecto dos ataques cibernéticos só poderia ser almejável numa realidade off-line, há um conjunto de medidas que podem, e devem ser tomadas e que visam minimizar as vulnerabilidades e risco de ataques cibernéticos:

-Cópia de Segurança: Cópia duplicada de ficheiros para um dispositivo de armazenamento alternativo. Esta operação que é comum ao nível de sistemas empresariais nomeadamente para recuperação de dados em caso de falhas humana ou técnica, é também um principio fundamental para a reposição de sistemas alvo de ataques informáticos. Em caso de contaminação por ransomware, caso não seja possível reverter o sequestro, o dispositivo poderá ser formatado e todos os dados repostos;

-Aplicações Antivírus: Programas de monitorização e combate a programas maliciosos. É indispensável manter estes programas de proteção actualizados de forma a identificaram ataques com recurso a métodos mais recentes. De preferência soluções de classe Internet Security;

-Atualização Contínua: É de extrema relevância que o sistema operativo do dispositivo e os seus componentes estejam permanentemente atualizados nas ultimas versões. Software standard como navegadores de internet ou mesmo ferramentas do produtividade e colaboração podem conter falhas conhecidas o que abre vulnerabilidades para serem exploradas pelos atacantes. Essas atualizações do sistema visam corrigir e colmatar essas falhas à medida que as mesmas vão sendo detectadas pelos fabricantes ou pela comunidade de utilizadores;

-Prudência e Desconfiança: Um dos métodos mais eficazes utilizado por atacantes criminosos cibernéticos é a Engenharia Social. Este método consiste em persuadir a vítima estimulando confiança para obtenção de informações privilegiadas ou mesmo viabilizar que o alvo faça download de um ficheiro enviado por correio eletrónico ou aceda a um link malicioso. Neste contexto a medida preventiva tem de ser também no domínio comportamental, desconfiando sempre de e-mails com títulos sugestivos ou que possam despertar interesse e que não sejam de fontes conhecidas.

-Exibir Extensões de Ficheiros: A Extensão é basicamente o sufixo do ficheiro que define o seu formato ou tipo, ou seja, um ficheiro de texto terá uma extensão “txt”, um documento do Word da Microsoft terá extensão “doc” ou “docx”, e do Excel do mesmo fabricante “xls” ou “xlsx”.É importante confirmar as extensões (Tipos) dos ficheiros que são recepcionados por exemplo como anexos a correio eletrónico. Por vezes um ficheiro contem mais de uma extensão por exemplo “Fatura.pdf.exe”. Neste caso um programa que pode executar operações maliciosas está dissimulado num ficheiro que aparenta ser um documento do tipo “PDF” que temos como inofensivo;

-Off-line: Caso se perceba algum processo ou ficheiro suspeito deve desligar-se de imediato o dispositivo e a ligação à internet para evitar propagação do malware e dos seus efeitos. Em alguns casos os sistemas antivirus já poderão dispor de mecanismos de remoção do malware.

 

Enquadramento Legal

No ordenamento jurídico português o cibercrime encontra-se regulado desde 2009 pela Lei n.º 109/2009 de 15 de setembro que, transpôs para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa, a denominada convenção de Budapeste.

Conforme introdução do presente artigo, com a revolução tecnológica e em particular das redes de comunicação, é crescente uma vida em sociedade dependente do uso dessas redes e das aplicações que nelas se operacionalizam. Neste contexto florescem também, as atividades ilegais associadas às redes de comunicação, usando-as para efeitos criminosos e explorando as suas vulnerabilidades, o que torna a cibercriminalidade uma ameaça típica dos tempos modernos, em proliferação célere à escala global.

O ransomware é um caso de concurso de crimes no caso o que se prevê artigo 4º no seu numero 1 na perspetiva de inutilização dos dados e por isso punido com pena de prisão ate 3 anos ou pena de multa poderá ser ate 5 ou 10 caso o dano seja elevado ou consideravelmente elevado.

6

Também na perspetiva de impossibilidade de acesso aos programas pode aplicar-se o artigo 5º relativo à “Sabotagem Informática”

7

Conclusão

O crescimento dos ataques informáticos através de malware e a sofisticação das técnicas utilizadas nos mesmo tem sido exponencial. No caso concreto do ransomware o grau de ameaça é entendido como muito grave motivo pelo qual se tem promovido uma dinâmica mundial de disseminação da informação e desenvolvimento de ferramentas de prevenção e reversão de ataques desta natureza. Quando direcionado a setores críticos como é o caso de determinadas entidades publicas ou privadas podemos estar perante cenários de impacto muito significativo na medida em que culminam com inviabilização de acesso a dados e inutilização de sistemas e processos que só podem na maior parte dos casos ser revertidos através do pagamento de resgate, ou seja, mediante um processo de extorsão.

Não sendo a único, o ransomware é considerado na actualidade como o principal tipo de ameaça cibernética que através dos mecanismos de extorsão digital contribui para o financiamento de organizações ciber-criminosas, que além do crime que constituem estejam a potenciar outro tipo de crimes  como o branqueamento de capitais, financiamento de grupos terroristas bem como investimento em equipamentos e processos cibernéticos cuja finalidade seja promover ataques cibernéticos ainda e maior dimensão.

A grande vulnerabilidade dos sistemas muitas vezes derivada de comportamentos de risco por parte dos seus utilizadores face à densificação e sofisticação de ameaças como o que são materializados através de ransomware, exigem um esforço cada vez maior quer para contenção deste tipo de ameaça quer para reversão. Neste espaço há um papel de tremenda importância para empresas e organismos especializados em matéria de segurança informática e cibernética em particular numa ótica preventiva, mas também reativa. Importante também o enquadramento legal e o papel de entidades de investigação neste tipo de crimes que poderão também contribuir para a diminuição deste tipo de práticas que através de investigação.

Braga, 10 de Junho de 2017

Rui Paupério

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s