Extorsão no século XXI
O flagelo do malware cripto-ransomware ganhou destaque nas previsões de ameaças de 2015 e o aumento de 165% observado no primeiro trimestre de 2015 indica que tais medos estavam bem fundamentados. Por meio de um modelo criminoso que vai de encontro a muitas das previsões de ameaça, o cripto-ransomware não tem relação com a extração de dados valiosos, ao invés disso utiliza da criptografia de arquivos, para posteriormente solicitar um resgate, a extorsão ocorre de forma agressiva. Ainda que a primeira vista a técnica possa parecer precária, a evolução do cripto-ransomware e do mercado criminoso que serve como incubadora é, na verdade, uma operação calculada que abusa das tecnologias defendidas por defensores da privacidade. As estatísticas de propagação das variantes CTB-Locker ilustram bem a difusão geográfica generalizada dessa ameaça subversiva ao longo de 2015.

O vetor de infecção utilizado pelos criminosos para propagar cripto-ransomwares varia, sendo muitas vezes simbiótico com infecções de malware anteriores; em 2014, isso seria geralmente o resultado da botnet Gameover Zeus,, em 2015, houve um crescimento do ransomware como parte do ciclo de vida de um malware que engloba «fraudes de cliques» e «publicidade maliciosa» («malvertising»).

Uma vez infectado, a técnica de criptografia assimétrica é utilizada pelo malware para criar um par de chaves pública-privada para criptografar arquivos. A chave utilizada para codificar os arquivos muitas vezes também é criptografada por meio de um processo que utiliza uma combinação de criptografias RSA e AES, sendo que, sem acesso à chave privada do agressor, é praticamente impossível decriptar os dados.

Com o passar do tempo, o preço do pedido de resgate foi ajustado pelos criminosos e, atualmente, está na faixa de $400 (€360), a serem pagos em Bitcoins, o que parece se aproximar do teto no qual ransomwares sem alvo conseguem achar um ponto de equilíbrio entre a probabilidade de pagamento e o pedido de resgate máximo por parte de um usuário comum. Entretanto, em junho de 2015, o FBI emitiu uma declaração de que a variável CryptoWall havia causado danos no total de $18 milhões de dólares, incluindo pagamentos de resgates de $200 a $10.000 dólares, tanto de indivíduos quanto de empresas.

O cripto-ransomware sintetiza o vínculo entre o criminoso cibernético moderno e o uso eficaz da velha intimidação psicológica, sendo um modelo que parece ser escalável a tecnologias como smartphone, nuvem e Internet das coisas, IoT. Na verdade o potencial de evolução dessa ameaça, alimentada pelo ecossistema de criminosos cibernéticos, pode ser mais sinistro do que ver as estatísticas de propagação.

Codificação de erros e apreensões pela aplicação da lei relativa às variantes específicas pode oferecer uma oportunidade de descriptografia em uma pequena porcentagem de casos, mas uma ‘cura’ deve ser considerada como inexistente. Os criminosos podem nem sequer pretende fornecer descriptografia, mas a trajetória do ransomware é testamento para o número de vítimas despreparados, que sentiu que não tinham outra escolha.

A única forma de anular o modelo comercial criminoso é não pagar o resgate;. No entanto, esse tipo de idealismo não serve para um indivíduo ou empresa infectado que não possuem medidas de proteção suficiente. Conscientização de segurança e “fortalecimento”, hardening, do ambiente tecnológico são medidas de prevenção, mas a única contingência confiável em casos de infecção é ter backups suficientes; idealmente, três cópias em dois formatos diferentes, além de uma cópia offline. Erros de codificação e apreensões por determinação judicial podem oferecer uma chance de decriptação em uma pequena percentagem dos casos, embora seja necessário considerar que não existe uma «cura». Pode ser que os criminosos nunca pretendam oferecer decriptação, mas a trajetória do ransomware é uma prova da quantidade de vítimas despreparadas que não tinham outra opção.

» Download do «Cyber Security Pulse and Ransomware report» em português