Ransomware

O ransomware é uma forma de malware que bloqueia o acesso do utilizador aos seus ficheiros ou ao seu dispositivo, exigindo depois um pagamento para restaurar o acesso. Os atacantes de ransomware atingem empresas, organizações e indivíduos de igual modo.

Antivírus gratuito

Tudo sobre ataques de ransomware

O ransomware fez manchetes ao longo de 2021 e continua a ser notícia em 2022. Você pode ter ouvido histórias de ataques a grandes empresas, organizações ou agências governamentais, ou talvez você, como indivíduo, tenha sofrido um ataque de ransomware em seu próprio dispositivo.

É um problema significativo e uma perspetiva assustadora ter todos os seus ficheiros e dados como reféns até pagar. Se quiser saber mais sobre esta ameaça, continue a ler para saber mais sobre as diferentes formas de ransomware, como se obtém, de onde vem, a quem se destina e, por fim, o que pode fazer para se proteger contra ele.

O que é o ransomware?

Definição de ransomware

O malware de resgate, ou ransomware, é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou ficheiros pessoais e exige o pagamento de um resgate para recuperar o acesso. Embora algumas pessoas possam pensar "um vírus bloqueou o meu computador", o ransomware é normalmente classificado como uma forma de malware diferente de um vírus.

As primeiras variantes de ransomware foram desenvolvidas no final da década de 1980 e o pagamento devia ser enviado por correio postal. Atualmente, os autores de ransomware ordenam que o pagamento seja enviado através de moeda criptográfica ou cartão de crédito, e os atacantes têm como alvo indivíduos, empresas e organizações de todos os tipos. Alguns autores de ransomware vendem o serviço a outros cibercriminosos, o que é conhecido como Ransomware-as-a-Service ou RaaS.

Ataques de ransomware

Como é que um agente de ameaça executa exatamente um ataque de ransomware? Primeiro, tem de obter acesso a um dispositivo ou rede. O acesso permite-lhes utilizar o malware necessário para encriptar, ou bloquear, o dispositivo e os dados. Há várias formas diferentes de o ransomware infetar o computador

Como é que apanho ransomware?

  • Malspam: Para obter acesso, alguns agentes de ameaças utilizam o spam, enviando uma mensagem de correio eletrónico com um anexo malicioso ao maior número possível de pessoas, para ver quem abre o anexo e "morde o isco", por assim dizer. O spam malicioso, ou malspam, é um correio eletrónico não solicitado que é utilizado para distribuir malware. O correio eletrónico pode incluir anexos com armadilhas, como PDFs ou documentos Word. Pode também conter ligações para sítios Web maliciosos.
  • Malvertising: Outro método de infeção popular é o malvertising. Malvertising, ou publicidade maliciosa, é a utilização de publicidade online para distribuir malware com pouca ou nenhuma interação do utilizador. Enquanto navegam na Web, mesmo em sites legítimos, os utilizadores podem ser direcionados para servidores criminosos sem nunca clicar num anúncio. Estes servidores catalogam detalhes sobre os computadores das vítimas e as suas localizações e, em seguida, selecionam o malware mais adequado para distribuir. Muitas vezes, esse malware é ransomware. O malvertising utiliza frequentemente uma iframe infetada, ou um elemento invisível de uma página Web, para fazer o seu trabalho. O iframe redirecciona para uma página de destino de exploração e o código malicioso ataca o sistema a partir da página de destino através de um kit de exploração. Tudo isto acontece sem o conhecimento do utilizador, razão pela qual é muitas vezes referido como "drive-by-download".
  • Spear phishing: Um meio mais direcionado para um ataque de ransomware é através de spearphishing. Um exemplo de spear phishing seria o envio de mensagens de correio eletrónico para os funcionários de uma determinada empresa, alegando que o CEO está a pedir-lhe que responda a um importante inquérito aos funcionários ou que o departamento de RH está a pedir-lhe que descarregue e leia uma nova política. O termo "whaling" é utilizado para descrever estes métodos dirigidos a decisores de alto nível de uma organização, como o CEO ou outros executivos.
  • Engenharia social: Malspam, malvertising e spear phishing podem conter, e muitas vezes contêm, elementos de engenharia social. Os agentes da ameaça podem utilizar a engenharia social para enganar as pessoas e levá-las a abrir anexos ou a clicar em ligações, fazendo-as passar por legítimas, quer pareçam ser de uma instituição de confiança ou de um amigo. Os cibercriminosos utilizam a engenharia social noutros tipos de ataques de ransomware, como fazer-se passar pelo FBI para assustar os utilizadores e levá-los a pagar uma quantia em dinheiro para desbloquear os seus ficheiros. Outro exemplo de engenharia social é quando um agente de ameaça recolhe informações dos seus perfis públicos nas redes sociais sobre os seus interesses, locais que visita frequentemente, o seu emprego, etc., e utiliza algumas dessas informações para lhe enviar uma mensagem que lhe parece familiar, esperando que clique antes de se aperceber que não é legítima. 
Infografia sobre malvertising e ransomware.

Encriptar ficheiros e pedir um resgate

Qualquer que seja o método utilizado pelo agente da ameaça, uma vez obtido o acesso e o software de ransomware (normalmente ativado pela vítima ao clicar numa hiperligação ou ao abrir um anexo) encripta os seus ficheiros ou dados para que não lhes possa aceder, verá então uma mensagem a exigir o pagamento de um resgate para restaurar o que foi retirado. Muitas vezes, o atacante exige o pagamento através de criptomoeda.

Tipos de ransomware

Os três principais tipos de ransomware incluem scareware, screen lockers e ransomware de encriptação:

  • Scareware: O scareware, ao que parece, não é assim tão assustador. Inclui software de segurança desonesto e esquemas de apoio técnico. Poderá receber uma mensagem pop-up a dizer que foi descoberto malware e que a única forma de se livrar dele é pagar. Se não fizer nada, é provável que continue a ser bombardeado com pop-ups, mas os seus ficheiros estão essencialmente seguros. Um programa de software de segurança cibernética legítimo não solicitaria clientes desta forma. Se ainda não tem o software desta empresa no seu computador, então ela não o estará a monitorizar para detetar infecções de ransomware. Se tiver um software de segurança, não precisa de pagar para que a infeção seja removida - já pagou pelo software para fazer esse trabalho.
  • Bloqueadores de ecrã: Atualização para alerta laranja de terror para estes tipos. Quando o ransomware de ecrã bloqueado entra no seu computador, significa que fica completamente fora do seu PC. Ao iniciar o computador, aparece uma janela de tamanho normal, muitas vezes acompanhada por um selo oficial do FBI ou do Departamento de Justiça dos EUA, que diz que foi detectada uma atividade ilegal no computador e que tem de pagar uma multa. No entanto, o FBI não bloqueia o acesso ao seu computador nem exige o pagamento de uma atividade ilegal. Se suspeitassem de pirataria, pornografia infantil ou outros cibercrimes, recorreriam aos canais legais adequados.
  • Ransomware de encriptação: Este é o material verdadeiramente desagradável. Estes são os tipos que se apoderam dos seus ficheiros e os encriptam, exigindo um pagamento para os desencriptar e voltar a entregar. A razão pela qual este tipo de ransomware é tão perigoso é porque, quando os cibercriminosos se apoderam dos seus ficheiros, nenhum software de segurança ou restauro do sistema pode devolvê-los. A menos que pague o resgate, na maior parte dos casos, eles desaparecem. E mesmo que pague, não há qualquer garantia de que os cibercriminosos lhe devolvam os ficheiros.

Ransomware Mac

Saiba mais sobre o KeRanger, o primeiro verdadeiro ransomware Mac .

Para não ficarem de fora do jogo do ransomware, os autores de malware Mac lançaram o primeiro ransomware para Mac OS em 2016. Chamado KeRanger, o ransomware infetou uma aplicação chamada Transmission que, quando iniciada, copiava ficheiros maliciosos que permaneciam em execução silenciosa em segundo plano durante três dias até serem detonados e encriptarem ficheiros. Felizmente, o XProtect, o programa anti-malware integrado da Apple, lançou uma atualização pouco depois de o ransomware ter sido descoberto, impedindo-o de infetar os sistemas dos utilizadores. No entanto, o ransomware Mac não é mais teórico. 

A seguir ao KeRanger surgiram o Findzip e o MacRansom, ambos descobertos em 2017. Mais recentemente, em 2020, foi descoberto o que parecia ser ransomware(ThiefQuest, também conhecido como EvilQuest), mas que na realidade era o chamado "wiper". Fingia ser ransomware para encobrir o facto de que estava a exfiltrar todos os dados do utilizador e, embora encriptasse ficheiros, nunca tinha uma forma de os utilizadores os desencriptarem ou contactarem o grupo para pagamentos. 

Ransomware móvel

Foi só no auge do infame CryptoLocker e de outras famílias semelhantes em 2014 que o ransomware foi visto em grande escala nos dispositivos móveis. O ransomware para dispositivos móveis apresenta normalmente uma mensagem informando que o dispositivo foi bloqueado devido a algum tipo de atividade ilegal. A mensagem indica que o telemóvel será desbloqueado após o pagamento de uma taxa. O ransomware móvel é frequentemente distribuído através de aplicações maliciosas e exige que o utilizador arranque o telefone em modo de segurança e elimine a aplicação infetada para recuperar o acesso ao seu dispositivo móvel.

Quem são os alvos dos autores de ransomware?

Quando o ransomware foi introduzido (e depois reintroduzido), as suas vítimas iniciais eram sistemas individuais (também conhecidos como pessoas normais). No entanto, os cibercriminosos começaram a aperceber-se de todo o seu potencial quando lançaram o ransomware para as empresas. O ransomware foi tão bem sucedido contra as empresas, interrompendo a produtividade e resultando em perda de dados e receitas, que os seus autores viraram a maior parte dos seus ataques para elas.

No final de 2016, 12,3 por cento das detecções globais de empresas eram ransomware, enquanto apenas 1,8 por cento das detecções de consumidores eram ransomware em todo o mundo. Em 2017, 35 por cento das pequenas e médias empresas tinham sofrido um ataque de ransomware. Avançando rapidamente para a pandemia global em 2020, a ameaça persiste: Os grupos de ransomware atacaram hospitais e instalações médicas e desenvolveram novas tácticas como a "extorsão dupla", em que os atacantes conseguem extorquir mais dinheiro com ameaças de fuga de dados sensíveis do que com a desencriptação dos computadores que encriptaram. Alguns grupos de ransomware oferecem os seus serviços a terceiros, utilizando um modelo de Ransomware-as-a-Service ou RaaS. 

Relatório sobre o ransomware nas pequenas e médias empresas.


Relatório sobre o ransomware nas pequenas e médias empresas.

Geograficamente, os ataques de ransomware continuam a centrar-se nos mercados ocidentais, sendo o Reino Unido, os EUA e o Canadá os três principais países visados, respetivamente. Tal como acontece com outros agentes de ameaças, os autores de ransomware seguem o dinheiro, pelo que procuram áreas com grande adoção de PCs e relativa riqueza. À medida que os mercados emergentes da Ásia e da América do Sul aumentam o seu crescimento económico, é de esperar um aumento do ransomware (e de outras formas de malware) também nesses países.

Como é que posso remover ransomware?

Diz-se que mais vale um grama de prevenção do que um quilo de cura. Isto é certamente verdade quando se trata de ransomware. Se um atacante encriptar o seu dispositivo e pedir um resgate, não há qualquer garantia de que o irá desencriptar, quer pague ou não.

É por isso que é fundamental estar preparado antes de ser atingido por ransomware. Dois passos fundamentais a tomar são:

  • Instale software de segurança antes de ser atingido por ransomware
  • Cópia de segurança dos seus dados importantes (ficheiros, documentos, fotografias, vídeos, etc.)

Se se deparar com uma infeção de ransomware, a regra número um é nunca pagar o resgate. (Tudo o que isso faz é encorajar os cibercriminosos a lançar ataques adicionais contra si ou contra outra pessoa. 

Uma opção potencial para a remoção de ransomware é a possibilidade de recuperar alguns ficheiros encriptados utilizando desencriptadores gratuitos. Para ser claro: nem todas as famílias de ransomware têm desencriptadores criados para elas, em muitos casos porque o ransomware utiliza algoritmos de encriptação avançados e sofisticados.

E mesmo que haja um desencriptador, nem sempre é claro se é para a versão correta do malware. Não quer encriptar ainda mais os seus ficheiros utilizando o script de desencriptação errado. Por isso, é preciso prestar muita atenção à mensagem de resgate em si, ou talvez pedir o conselho de um especialista em segurança/TI antes de tentar qualquer coisa.

Outras formas de lidar com uma infeção de ransomware incluem o descarregamento de um produto de segurança conhecido pela remediação e a execução de uma verificação para remover a ameaça. Poderá não recuperar os seus ficheiros, mas pode ter a certeza de que a infeção será limpa. No caso do ransomware de bloqueio de ecrã, poderá ser necessária uma restauração completa do sistema. Se isso não funcionar, pode tentar executar uma verificação a partir de um CD de arranque ou de uma unidade USB.

Se quiser tentar impedir uma infeção de ransomware de encriptação em ação, terá de se manter particularmente vigilante. Se notar que o seu sistema está a ficar lento sem razão aparente, desligue-o e desconecte-o da Internet. Se, uma vez reiniciado, o malware ainda estiver ativo, não será capaz de enviar ou receber instruções do servidor de comando e controlo. Isto significa que sem uma chave ou uma forma de extrair o pagamento, o malware pode ficar inativo. Nessa altura, descarregue e instale um produto de segurança e execute uma verificação completa.

No entanto, estas opções de remoção de ransomware não funcionam em todos os casos. Tal como referido acima, para os consumidores, seja proactivo na sua defesa contra o ransomware, instalando software de segurança como o Malwarebytes Premiume fazendo cópias de segurança de todos os seus dados importantes. Para as empresas, saiba mais sobre as soluções empresariais Malwarebytes que incluem deteção, prevenção e reversão de ransomware

Como é que me protejo do ransomware?

Os especialistas em segurança concordam que a melhor forma de se proteger do ransomware é, antes de mais, evitar que ele aconteça.


Leia sobre as melhores formas de evitar uma infeção por ransomware.

Leia sobre as melhores formas de evitar uma infeção por ransomware.

Embora existam métodos para lidar com uma infeção de ransomware, são soluções imperfeitas, na melhor das hipóteses, e muitas vezes exigem muito mais conhecimentos técnicos do que o utilizador médio de computador. Por isso, aqui está o que recomendamos que as pessoas façam para evitar as consequências de ataques de ransomware.

O primeiro passo na prevenção do ransomware é investir numa cibersegurança fantástica - um programa com proteção em tempo real concebido para impedir ataques de malware avançado, como o ransomware. Deve também procurar funcionalidades que protejam os programas vulneráveis contra ameaças (uma tecnologia anti-exploração) e que impeçam o ransomware de manter os ficheiros reféns (uma componente anti-ransomware ). Os clientes que utilizavam a versão premium do Malwarebytes para Windows, por exemplo, estavam protegidos contra todos os principais ataques de ransomware de 2017.

Em seguida, por muito que lhe custe, é necessário criar regularmente cópias de segurança seguras dos seus dados. A nossa recomendação é utilizar o armazenamento na nuvem que inclui encriptação de alto nível e autenticação de vários factores. No entanto, pode adquirir USBs ou um disco rígido externo onde pode guardar ficheiros novos ou actualizados - mas certifique-se de que desliga fisicamente os dispositivos do seu computador depois de fazer a cópia de segurança, caso contrário, também podem ficar infectados com ransomware.

Depois, certifique-se de que os seus sistemas e software estão actualizados. O surto de ransomware WannaCry aproveitou-se de uma vulnerabilidade no software da Microsoft. Embora a empresa tenha lançado uma correção para a falha de segurança em março de 2017, muitas pessoas não instalaram a atualização, o que as deixou expostas ao ataque. Sabemos que é difícil manter-se a par de uma lista crescente de actualizações de uma lista crescente de software e aplicações utilizadas no seu dia a dia. É por isso que recomendamos que altere as suas definições para ativar a atualização automática.

Por último, mantenha-se informado. Uma das formas mais comuns de os computadores serem infectados com ransomware é através da engenharia social. Eduque-se a si próprio(e aos seus funcionários, se for proprietário de uma empresa) sobre como detetar malspam, sites suspeitos e outras fraudes. E, acima de tudo, use o bom senso. Se parece suspeito, provavelmente é.

Como é que o ransomware afecta a minha empresa?

GandCrab, SamSam, WannaCry, NotPetya - são todos tipos diferentes de ransomware e estão a atingir fortemente as empresas. De facto, os ataques de ransomware a empresas aumentaram 88% no segundo semestre de 2018, à medida que os cibercriminosos se afastam dos ataques centrados no consumidor. Os cibercriminosos reconhecem que grandes negócios se traduzem em grandes pagamentos, visando hospitais, agências governamentais e instituições comerciais. No total, o custo médio de uma violação de dados, incluindo remediação, penalizações e pagamentos de ransomware, é de 3,86 milhões de dólares.

A maioria dos casos de ransomware ultimamente tem sido identificada como GandCrab. Detectado pela primeira vez em janeiro de 2018, o GandCrab já passou por várias versões à medida que os autores da ameaça tornam o seu ransomware mais difícil de defender e reforçam a sua encriptação. Estima-se que o GandCrab já tenha arrecadado cerca de 300 milhões de dólares em resgates pagos, com resgates individuais de 600 a 700.000 dólares.

Noutro ataque notável, ocorrido em março de 2018, o ransomware SamSam paralisou a cidade de Atlanta ao desativar vários serviços essenciais da cidade, incluindo a cobrança de receitas e o sistema de registo da polícia. No total, o ataque SamSam custou a Atlanta 2,6 milhões de dólares para ser remediado.

Tendo em conta a vaga de ataques de ransomware e o enorme custo que lhes está associado, esta é uma boa altura para proteger a sua empresa contra o ransomware. Já abordámos o tema em pormenor anteriormente, mas aqui fica uma breve descrição de como proteger a sua empresa contra malware.

  • Faça cópias de segurança dos seus dados. Partindo do princípio de que tem cópias de segurança disponíveis, remediar um ataque de ransomware é tão simples como limpar e voltar a criar imagens dos sistemas infectados. Poderá querer analisar as suas cópias de segurança para garantir que não foram infectadas, porque algum ransomware foi concebido para procurar partilhas de rede. Por conseguinte, é aconselhável armazenar as cópias de segurança dos dados num servidor em nuvem seguro com encriptação de alto nível e autenticação de vários factores.
  • Corrija e actualize o seu software. O ransomware baseia-se frequentemente em kits de exploração para obter acesso ilícito a um sistema ou rede (por exemplo, GandCrab). Desde que o software da sua rede esteja atualizado, os ataques de ransomware baseados em exploits não o podem afetar. Por outro lado, se a sua empresa utiliza software desatualizado ou obsoleto, corre o risco de ser vítima de ransomware, uma vez que os fabricantes de software já não lançam actualizações de segurança. Livre-se do abandonware e substitua-o por software que ainda seja suportado pelo fabricante.
  • Eduque os seus utilizadores finais sobre o malspam e a criação de palavras-passe fortes. Os cibercriminosos empreendedores por detrás do Emotet estão a utilizar o antigo Trojan bancário como veículo de entrega de ransomware. O Emotet baseia-se no malspam para infetar um utilizador final e entrar na sua rede. Uma vez na rede, o Emotet apresenta um comportamento semelhante a um worm, espalhando-se de sistema para sistema através de uma lista de palavras-passe comuns. Aprendendo a detetar o malspam e implementando a autenticação multifactor, os seus utilizadores finais ficarão um passo à frente dos cibercriminosos.
  • Investir numa boa tecnologia de cibersegurança. Malwarebytes Endpoint Detection and Response, por exemplo, oferece-lhe capacidades de deteção, resposta e correção através de um agente conveniente em toda a sua rede. Também pode solicitar uma avaliação gratuita da tecnologia anti-ransomwareMalwarebytes para saber mais especificamente sobre a nossa tecnologia de proteção contra ransomware. 

O que fazer se já foi vítima de ransomware? Ninguém quer lidar com ransomware depois do facto consumado.

  • Verifique e veja se existe um desencriptador. Em alguns casos raros, poderá conseguir desencriptar os seus dados sem pagar, mas as ameaças de ransomware evoluem constantemente com o objetivo de tornar cada vez mais difícil desencriptar os seus ficheiros, por isso não tenha muitas esperanças.
  • Não pague o resgate. Há muito tempo que defendemos que não se deve pagar o resgate e o FBI (depois de algumas discussões) concorda. Os cibercriminosos não têm escrúpulos e não há qualquer garantia de que irá recuperar os seus ficheiros. Além disso, ao pagar o resgate está a mostrar aos cibercriminosos que os ataques de ransomware funcionam.

História dos ataques de ransomware

O primeiro ransomware, conhecido como PC Cyborg ou AIDS, foi criado no final da década de 1980. O PC Cyborg encriptava todos os ficheiros no diretório C: após 90 reinicializações e exigia que o utilizador renovasse a sua licença enviando 189 dólares por correio para a PC Cyborg Corp. A encriptação utilizada era suficientemente simples para ser revertida, pelo que representava uma pequena ameaça para aqueles que tinham conhecimentos informáticos.

Com poucas variantes a aparecerem nos 10 anos seguintes, uma verdadeira ameaça de ransomware só chegaria em 2004, quando o GpCode utilizou uma encriptação RSA fraca para pedir o resgate de ficheiros pessoais.

Em 2007, o WinLock anunciou o aparecimento de um novo tipo de ransomware que, em vez de encriptar ficheiros, bloqueava os computadores de secretária. O WinLock assumia o controlo do ecrã da vítima e mostrava imagens pornográficas. Depois, exigia o pagamento através de uma SMS paga para as remover.

Com o desenvolvimento da família de ransomware Reveton em 2012, surgiu uma nova forma de ransomware: o ransomware de aplicação da lei. As vítimas eram impedidas de aceder ao seu ambiente de trabalho e era-lhes mostrada uma página de aspeto oficial que incluía credenciais de agências de aplicação da lei, como o FBI e a Interpol. O ransomware afirmava que o utilizador tinha cometido um crime, como pirataria informática, descarregamento de ficheiros ilegais ou mesmo envolvimento em pornografia infantil. A maioria das famílias de ransomware para aplicação da lei exigia o pagamento de uma multa que variava entre $100 e $3.000 com um cartão pré-pago como o UKash ou o PaySafeCard.

Os utilizadores comuns não sabiam o que pensar disto e acreditavam que estavam realmente a ser investigados pelas autoridades policiais. Esta tática de engenharia social, agora designada por culpa implícita, faz com que o utilizador questione a sua própria inocência e, em vez de ser acusado de uma atividade de que não se orgulha, pague o resgate para que tudo desapareça.

Em 2013, o CryptoLocker voltou a apresentar ao mundo o ransomware de encriptação - só que desta vez era muito mais perigoso. O CryptoLocker utilizava encriptação de nível militar e armazenava a chave necessária para desbloquear ficheiros num servidor remoto. Isto significava que era praticamente impossível para os utilizadores recuperarem os seus dados sem pagar o resgate.

Este tipo de ransomware de encriptação ainda é utilizado hoje em dia, uma vez que provou ser uma ferramenta incrivelmente eficaz para os cibercriminosos ganharem dinheiro. Os surtos de ransomware em grande escala, como o WannaCry em maio de 2017 e o Petya em junho de 2017, utilizaram ransomware de encriptação para enganar utilizadores e empresas em todo o mundo.

No final de 2018, o Ryuk surgiu no cenário do ransomware com uma série de ataques a publicações de notícias americanas, bem como à Onslow Water and Sewer Authority da Carolina do Norte. Numa reviravolta interessante, os sistemas visados foram primeiro infectados com o Emotet ou o TrickBot, dois cavalos de Troia que roubam informações e que agora estão a ser utilizados para entregar outras formas de malware, como o Ryuk, por exemplo. O diretor do Malwarebytes Labs, Adam Kujawa, especula que o Emotet e o TrickBot estão a ser utilizados para encontrar alvos de elevado valor. Assim que um sistema é infetado e assinalado como um bom alvo para o ransomware, o Emotet/TrickBot reinfecta o sistema com o Ryuk.

Em 2019, os criminosos por detrás do ransomware Sodinokibi (uma alegada ramificação do GandCrab) começaram a utilizar fornecedores de serviços geridos (MSP) para propagar infecções. Em agosto de 2019, centenas de consultórios dentários em todo o país descobriram que já não podiam aceder aos registos dos seus pacientes. Os atacantes utilizaram um MSP comprometido, neste caso uma empresa de software de registos médicos, para infetar diretamente mais de 400 consultórios dentários que utilizavam o software de manutenção de registos. 

Também em 2019, Malwarebytes descobriu a família de ransomware Maze. De acordo com o Relatório do Estado do Malware de 2021 da Malwarebytes, "o Maze foi além de manter os dados como reféns - incluiu uma ameaça adicional de liberar publicamente os dados roubados se o resgate não fosse pago". Outra gangue de ransomware que apareceu pela primeira vez no mesmo ano é a REvil, também conhecida como "Sodin" ou "Sodinokibi". Um grupo de ransomware sofisticado, o REvil utiliza um modelo de Ransomware-as-a-Service (RaaS) para vender a outros que queiram utilizar o seu software para cometer ataques de ransomware. 

Em 2020, outra nova família de ransomware chamada Egregor entrou em cena. Acredita-se que seja uma espécie de sucessor da família de ransomware Maze, já que muitos dos cibercriminosos que trabalhavam com o Maze mudaram para o Egregor. À semelhança do Maze, o Egregor utiliza um ataque de "extorsão dupla", em que encripta ficheiros e rouba dados da vítima, que ameaçam publicar online a menos que o resgate seja pago. 

Embora os ataques de ransomware contra indivíduos sejam um problema há vários anos, os ataques de ransomware contra empresas, hospitais e sistemas de saúde, escolas e distritos escolares, administrações locais e outras organizações têm feito manchetes em 2021. Da Colonial Pipeline ao grande frigorífico JBS e à Steamship Authority, o maior serviço de ferry em Massachusetts, os atacantes de ransomware mostraram que são capazes e estão dispostos a perturbar grandes empresas que fornecem bens do quotidiano, como gasolina, alimentos e transportes. 

Ao longo de 2021, vimos manchetes atrás de manchetes sobre grandes ataques de ransomware a grandes empresas e organizações (consulte a secção de notícias acima para ler sobre muitos deles). Em meados do ano, o governo dos EUA disse que o ransomware deveria ser investigado como terrorismo e criou o site StopRansomware.gov para reunir informações sobre como impedir e sobreviver a ataques de ransomware.

O que é que o resto de 2021 e 2022 trará no panorama das ameaças de ransomware? Embora não saibamos, estaremos aqui para mantê-lo informado. Volte a esta página para atualizações futuras e siga o blogMalwarebytes Labs para obter as últimas notícias sobre segurança cibernética.