Um ataque de ransomware a cada 10 segundos

Publicado em 13/12/2016 00:45 em Segurança Informática

A empresa de segurança informática Kaspersky indica que no terceiro trimestre de 2016 houve em média um ataque de ransomware a utilizadores de Internet a cada 10 segundos.

Relativamente às empresas, a firma de cibersegurança russa adianta que houve em média um ataque de ransomware a cada 40 segundos no terceiro trimestre do ano em curso, uma frequência tripla da que se verificava nos primeiros três meses do ano.

O ransomware é um tipo de malware que encripta os dados de um computador infectado, tornando o equipamento inoperacional, exigindo um pagamento (resgate) para repor a máquina em funcionamento.

A Kaspersky destaca que surgiram este ano 62 novas famílias daquele tipo de malware, o que tornou o ransomware protagonista das ameaças em 2016.

A companhia russa destaca o crescimento do negócio na Internet de ransomware as a service, que atrai criminosos que não têm capacidades ou recursos para desenvolverem aquele tipo de malware.

Indica que os criadores dos códigos vendem na Internet versões modificadas, exclusivas para cada cliente, que seguidamente os distribuem em sites ou por spam, pagando ao autor do malware uma comissão sobre os seus proveitos.

A Kaspersky estima que uma em cada cinco empresas no mundo já sofreu um acidente de segurança por ataque com ransomware e que uma em cada cinco pequenas empresas não recuperou os seus dados, mesmo pagando.

A Kaspersky revela que surgiram pela primeira vez em 2016 novos tipos de ramsonware que incluíam a encriptação do disco e o bloqueio de uma só vez do acesso aos arquivos pelos cibercriminosos, como é o caso do Petya, enquanto o Dcryptor foi um passo mais além, bloqueando todo o disco rígido.

A Kaspersky, que aconselha as empresas e pessoas afectadas a não pagarem o resgate, afirma que pôs gratuitamente à disposição de todas as empresas, independentemente do software de segurança que utilizam.

No blogue da companhia britânica de segurança informática para empresas Sophos, Paul Ducklin descreve o modo de infecção com o ransomware Goldeneye, que surge com um ficheiro PDF (não infectado) e um ficheiro Excel, alegadamente uma aplicação de trabalho, que induz as vítimas a abrir os ficheiros sem nunca o dizer explicitamente.

No Excel, é sugerido que se mude a configuração do Office e o malware encripta os Master File Table (MFT) do disco rígido, deixando de ser identificável os sectores a que pertencem os ficheiros.

Paul Ducklin explica que o disco rígido fica como uma biblioteca em que as folhas dos livros fossem separadas e misturadas, ficando sem utilidade prática, e revela que o malware usa diferentes algoritmos e diferentes chaves em cada ataque.

Quando a vítima paga (cerca de mil dólares), normalmente a chave enviada não é válida, os ficheiros continuam encriptados e é pedido um segundo resgate de igual valor.

Ducklin indica que, com sorte, ao segundo pagamento poderá receber a chave de desencriptação verdadeira, depois de pagar 2 mil dólares (dois pagamentos de cerca de mil dólares cada).

Ainda sem comentários