Copiar, desligar, não pagar. O que fazer se foi vítima de ransomware?
O número de ataques do tipo ransomware, em que criminosos barram o acesso a programas e ficheiros, está a aumentar. A melhor táctica é a prevenção. Mas o que fazer, quando acontece?
O grupo de cibercriminosos Lockbit, responsável por barrar o acesso a ficheiros e programas de computador em todo o mundo, foi desmantelado esta semana numa operação policial internacional liderada pela Europol (Serviço de Polícia Europeu). O grupo, com mais de 30 servidores espalhados pelo mundo, é um dos responsáveis pelo aumento de ataques do tipo ransomware, em que um programa que causa danos exige um resgate para o desbloqueio de programas e ficheiros (“ransom” é a palavra inglesa para “resgate”) - por norma, através de um pagamento em criptomoedas. Online, multiplicam-se os pedidos de ajuda em plataformas de fóruns como o Reddit e o Discord.
Apesar do sucesso com o Lockbit, a Europol salienta que este tipo de ataques continua a ser uma das maiores ameaças. Em particular, quando barram o acesso a infra-estruturas críticas, como serviços de saúde ou energia. Entre Julho e Dezembro de 2023, a empresa de cibersegurança S21sec registou 2492 ataques deste tipo – é um aumento de 40% face ao período homólogo.
A prevenção é sempre a melhor estratégia. Mas o que se faz quando se foi vítima de ransomware? O PÚBLICO falou com especialistas na área da cibersegurança.
Quais são os primeiros sinais de uma infecção do tipo ransomware?
Um ataque de ransomware torna-se óbvio quando se fica impedido de aceder a um programa, ficheiro ou dispositivo com uma nota de resgate dos atacantes. No entanto, há alguns sinais a que se deve estar atento. “Alguns dos sinais que podem ser indicativos de problemas são, por exemplo, alterações na estrutura e nomes de pastas e ficheiros, diminuição da performance dos equipamentos ou rede, actividade anómala de acesso a determinados ficheiros”, enumera Paulo Silva, um dos líderes dos centros de operações de segurança da S21sec.
O que fazer quando se percebe que foi alvo de um ataque tipo ransomware?
Se suspeita de um ataque, é essencial contactar as autoridades para o denunciar. Além disso:
• Registe detalhes importantes. Será útil para pedir ajuda a profissionais de cibersegurança e informar serviços relevantes, como a entidade bancária. Deve-se copiar a nota dos atacantes e alterações feitas a nomes e extensões de ficheiros. . A extensão é o sufixo – como .txt ou .png – que indica o tipo de ficheiro.
• Desligue o dispositivo infectado. Assim que tiver registado pormenores sobre o ataque, desligue o dispositivo infectado. Para a maioria das pessoas, esta é a melhor forma de impedir a propagação do ransomware.
• Desligue outros dispositivos ligados à rede. O ransomware pode espalhar-se pela rede local. Se existirem outros dispositivos na sua rede, deve desligá-los também antes de procurar ajuda. Comece pelos dispositivos com informação mais importante. “[Em empresas] isto pode significar colocar offline alguns equipamentos ou até mesmo redes inteiras. Ao tomar decisões acerca do isolamento ou desconexão de equipamentos, as organizações devem garantir que, dentro do possível, são recolhidas e preservadas as evidências necessárias para a investigação e participação às autoridades, se necessário”, alerta Paulo Silda da S21sec.
• Altere palavras-passe importantes. Alguns ataques de ransomware apenas bloqueiam o acesso à informação. Outros obtêm também cópias da informação bloqueada. Como precaução, deve alterar as palavras-passe de contas que possam ser comprometidas. Este é um dos motivos para não usar a mesma palavra-passe para mais do que um serviço online.
“É importante salientar que muitas das vezes as acções que se tomam como resposta ao incidente estão a ser monitorizadas pelo próprio atacante e, por isso, a coordenação da resposta deve ser feita utilizando canais alternativos e seguros”, acrescenta Paulo Silva, da S21sec.
Quem contactar?
Em Portugal, as autoridades nacionais a contactar são o Centro Nacional de Cibersegurança e a Unidade de Combate Nacional ao Cibercrime da Polícia Judiciária (211 967 000; unc3t@pj.pt).
“Para ajudar a Europol e as autoridades responsáveis pela aplicação da lei a manterem-se à frente da corrida, é crucial que cada um de nós denuncie a cibercriminalidade, quando esta ocorre. Isto permite que as autoridades policiais se mantenham a par das novas metodologias utilizadas pelos grupos de ransomware e adoptem medidas para as prevenir e atenuar os seus efeitos,” explica ao PÚBLICO Claire Georges, porta-voz da Europol.
Deve-se pagar o resgate?
O Centro Nacional de Cibersegurança (Cnsc) não aconselha o pagamento do resgate. A resposta é ecoada por vários especialistas da área. “Quando pagamos, estamos a confiar em criminosos para fazer a coisa certa”, explicou ao PÚBLICO Raj Samani, membro da equipa de consultoria de segurança online da Europol.
“Embora possa muitas vezes ser visto como a solução mais fácil, o pagamento do resgate não garante que os atacantes vão efectivamente devolver o acesso aos ficheiros. Além disso, o pagamento do resgate, por um lado, não garante que a organização não seja novamente atacada e, por outro lado, é uma promoção directa das capacidades dos actores danosos”, completa Paulo Silva da S21sec.
Para ajudar vítimas a reaver ficheiros, a Europol colaborou com agências policiais de vários países, incluindo o FBI, nos EUA, e polícia japonesa, no desenvolvimento de ferramentas de desencriptação que estão disponibilizadas gratuitamente no portal No More Ransom (inglês para “Não há mais resgate”).
Como impedir este tipo de ataques?
“Os utilizadores devem estar sensibilizados para as boas práticas de segurança, nomeadamente, não aceder a sites de reputação duvidosa, não abrir nem clicar em links ou anexos de emails suspeitos, duvidar de emails aparentemente legítimos, mas que contenham pedidos, links ou anexos suspeitos”, aconselha Paulo Silva.
Algumas sugestões:
• Não abra hiperligações ou anexos suspeitos. Evite carregar em links suspeitos de remetentes ou páginas online que desconhece.
• Evite divulgar informações pessoais. Se receber uma chamada, mensagem de texto ou email de uma fonte desconhecida a pedir pormenores pessoais, confirme a identidade do remetente antes de responder. Antes de um ataque de ransomware, os cibercriminosos tentam recolher informações pessoais antecipadamente via phishing, uma táctica de engenharia social em que se usam emails falsos (por exemplo, em nome de um banco ou rede social) para convencer alguém a fornecer dados pessoais.
• Mantenha programas e sistemas operativos actualizados. A actualização regular ajuda a proteger os dispositivos contra programas danosos, visto que várias empresas disponibilizam actualizações regulares para corrigir vulnerabilidades que descobrem e podem ser exploradas por atacantes.
• Use autenticação a dois factores. Opte por utilizar autenticação a dois factores (2FA) em que é preciso introduzir a palavra-passe e confirmar a identidade através de um código adicional que, por norma, é recebido via telemóvel ou obtido numa app de autenticação.
• Evite redes de wi-fi públicas. É o caso de redes gratuitas em restaurantes e supermercados que apresentam níveis de segurança mais baixos.
Que hábitos as empresas devem ter como precaução?
“O ransomware é uma forma de malware em que o objectivo principal é o retorno financeiro, o chamado ‘resgate’. Actualmente, é preciso que as organizações estejam conscientes de que os atacantes evoluíram nos seus métodos e podem utilizar diferentes camadas de ataque para persuadir as vítimas a pagar o resgate. Estas camadas de ataque incluem não só a tradicional cifra [bloqueio] de ficheiros, como também exfiltração de dados, ataques de negação de serviço (DDoS) ou mesmo contactar os clientes e parceiros da vítima, ameaçando com a exposição de dados sensíveis”, explica Paulo Silva da S21sec. “Sabendo as motivações dos atacantes, as organizações conseguem estar mais bem preparadas para prevenir eventuais ataques dirigidos.”