‘Ryuk’: entenda o ataque desse vírus de resgate com perguntas e respostas

Sou desenvolvedor, mas gosto muito da área de segurança eletrônica. Trabalho numa empresa de transportes e fomos atacados por esse ransomware [vírus de resgate]: Ryuk. Já ouviu falar desse “infeliz”? – Edson Jr.
O Ryuk é um vírus de resgate até bastante sabido. Porquê ocorreu no seu caso, ele é famoso por atacar empresas de modo bastante personalizado, ou seja, cada objectivo pode ser atingido de uma forma dissemelhante, criando desafios para barrar esse ataque.

Para ajudar a esclarecer alguns pontos sobre essa ameaça, o blog procurou Daniel Bortolazo, engenheiro de sistemas sênior da Palo Alto Networks Brasil. Ele elencou alguns pontos para entender a operação desse vírus e uma vez que uma empresa pode reagir.

O que são vírus de resgate?
Os vírus de resgate, ou “ransomware”, são pragas digitais que usam uma chave criptográfica para embaralhar os arquivos dos sistemas que contaminam. Para reverter esse processo, é preciso usar a chave de decifragem que, por regra, só os autores do vírus possuem.
Sabendo disso, os criminosos oferecem um meio de contato com a vítima e uma proposta para oferecer a ferramenta capaz de desfazer o estrago. Mas a empresa precisa remunerar por isso.
Ou seja, os arquivos foram “sequestrados”, e os criminosos querem cobrar um resgate.

O que o Ryuk tem de diferente?
Cada “espécie” de vírus de resgate pode ser reconhecida a partir de dois conjuntos de fatores.
O primeiro são as características técnicas próprias do vírus, uma vez que o método de criptografia usado, a forma de cobrança e a mensagem de resgate.
O segundo são os métodos usados para atacar os alvos em si.
O Ryuk faz parte de uma nova onda de vírus de resgate que passou a se especificar em ataques mais direcionados, inclusive com possibilidade de mediação humana em cada objectivo.
Isso diferencia os novos vírus de resgate daqueles mais antigos, uma vez que o WannaCry, que atacam sistemas sem nenhum critério, unicamente contando com a sorte para obter mais pagamentos.
O Ryuk, porém, pode atingir alvos específicos, e o valor cobrado nem sempre é o mesmo. Se o criminoso entende que o sistema é crítico para uma empresa e que ela tem condições de remunerar, é provável que o resgate seja mais custoso.

Bortolazo, da Palo Alto Networks, explica que o Ryuk ataca organizações de diversos setores desde 2018 e que, em 2020, houve um aumento significativo nos ataques contra instituições dos setores de ensino, governo e saúde, inclusive em sistemas hospitalares.
“A gangue de ransomware Ryuk é muito ativa e demonstrou um grande interesse em visar o setor de saúde e o setor de saúde pública, potencialmente interrompendo os serviços e operações. Essas questões são particularmente desafiadoras durante a pandemia do covid-19”, afirmou.
Segundo o perito, os pagamentos cobrados pelo Ryuk variam entre e US$ 600 mil a US$ 10 milhões. A forma de pagamento mais geral é o Bitcoin.

Porquê o Ryuk chega aos alvos?
Seguindo uma “cartilha” muito frequente para os vírus de resgate, a contaminação do Ryuk normalmente começa com um e-mail malicioso.
A mensagem é enviada a um funcionário da empresa que, ao abrir o e-mail, acaba contaminando a rede.
A primeira lanço do ataque costuma ser um outro vírus chamado de Trickbot – uma praga eletrônica que a Microsoft tentou desarticular em outubro de 2020 com um processo na Justiça.
Mais recentemente, a instalação do Ryuk pode ser feita por outro vírus, o BazaLoader.
Esse estágio inicial pode permanecer semanas ou até meses na rede da empresa atacada. Bortolazo explica que, durante esse período, os invasores se aproveitam de ferramentas próprias de ambientes corporativos, uma vez que as soluções de gestão do Windows, para “conhecer” a rede.
Esse período de “estudo” é necessário porque os vírus de resgate, quando são acionados, não podem mais ser escondidos. Portanto, os criminosos têm interesse em prometer que o vírus atinja o maior número provável de sistemas.

O carregamento do Ryuk, portanto, ocorre depois o estágio inicial se difundir pela rede.
Segundo uma estudo da SentinelLabs, vírus pode inclusive tentar vincular computadores desligados (em “standby”) por meio de um comando peculiar de rede chamado “Wake-On-LAN”. Se der certo, ele pode criptografar também os arquivos compartilhados desses computadores.

Existe alguma forma de reverter o estrago?
Porquê é o caso da maioria dos vírus de resgate, não basta “descontaminar” o sistema para reverter os efeitos do processo de criptografia.
Ainda que seja provável remover o vírus, a decifragem e recuperação de dados é um processo à parte.
Segundo Bortolazo, da Palo Alto Networks, a segurança da criptografia do Ryuk até hoje não foi quebrada em nenhuma versão do vírus.
Sendo assim, é obrigatório possuir um backup (cópia secundária dos dados) para que seja possível restaurar os sistemas de forma confiável.

É provável restaurar arquivos sequestrados por vírus de resgate?
O que é necessário fazer posteriormente uma contaminação?
Segundo Bortolazo, a resposta a uma invasão do Ryuk tem três etapas: a restauração de sistemas críticos, uma investigação profunda do ataque e investimentos em plataforma de segurança e conscientização do usuário.

Os três passos podem ser desafiadores.
A investigação do incidente pode ser a mais complicada, principalmente para empresas menores que não dispõem de equipes especializadas.
Nesse caso, Bortolazo sugere que a companhia busque uma equipe capacitada para agir com rapidez, limitando assim o período de interrupção causado pelo ataque.
A automatização de algumas tarefas também pode ajudar a equipe a lucrar eficiência ao longo do trabalho.
O perito também sugere uma reavaliação do método de proteção das estações de trabalho (“endpoints”).
Existem soluções que atuam de forma coordenada com segurança de rede, estudo de malware e a gestão, o que pode ajudar a reduzir o chamado “movimento lateral” – ou seja, a proliferação do vírus dentro da rede.
Estudar a adoção de ferramentas para reduzir a incidência de e-mails maliciosos e seguir a cartilha de boas práticas em segurança – com atualizações e uso correto de ferramentas para trabalho remoto, por exemplo – também vai ser importante para prevenir ataques.
A etapa de conscientização e treinamento dos usuários pode colaborar porque, uma vez que explicado, os vírus de resgate ainda chegam à rede das empresas em mensagens de e-mail fraudulentas (phishing).
Porquê os ataques mais recentes de ransomware costumam ser ao menos em parte adaptados para cada objectivo, tanto as etapas de resposta uma vez que de prevenção têm exigido uma postura completa das empresas.
Infelizmente, não parece ser provável se proteger dos vírus de resgate uma vez que se eles fossem uma ameaço isolada. Alguns desses ataques vão pôr à prova quase todas as faces da segurança eletrônica – do lado humano aos sistemas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.