À medida que a indústria do ransomware evolui, os especialistas prevêem que os hackers continuarão a encontrar cada vez mais formas de utilizar a tecnologia para explorar empresas e indivíduos.
Seksan Mongkhonkhamsao | Momento | Imagens Getty
O ransomware é agora uma indústria de bilhões de dólares. Mas nem sempre foi tão grande – nem foi um risco predominante de segurança cibernética como é hoje.
Datado da década de 1980, o ransomware é uma forma de malware usada por cibercriminosos para bloquear arquivos no computador de uma pessoa e exigir pagamento para desbloqueá-los.
A tecnologia – que completou oficialmente 35 anos em 12 de dezembro – já percorreu um longo caminho, com os criminosos agora capazes de criar ransomware com muito mais rapidez e implantá-lo em vários alvos.
Cibercriminosos arrecadou US$ 1 bilhão em pagamentos de criptomoedas extorquidos de vítimas de ransomware em 2023 – um recorde, de acordo com dados da empresa de análise de blockchain Chainalysis.
Os especialistas esperam que o ransomware continue a evoluir, com a tecnologia moderna de computação em nuvem, a inteligência artificial e a geopolítica moldando o futuro.
Como surgiu o ransomware?
O primeiro evento considerado um ataque de ransomware aconteceu em 1989.
Um hacker enviou disquetes fisicamente pelo correio alegando conter software que poderia ajudar a determinar se alguém corria risco de desenvolver AIDS.
No entanto, quando instalado, o software ocultaria diretórios e criptografaria nomes de arquivos nos computadores das pessoas após serem reinicializadas 90 vezes.
Em seguida, ele exibiria uma nota de resgate solicitando que um cheque administrativo fosse enviado a um endereço no Panamá para obter uma licença para restaurar os arquivos e diretórios.
O programa ficou conhecido pela comunidade de segurança cibernética como “Trojan AIDs”.
“Foi o primeiro ransomware e veio da imaginação de alguém. Não foi algo que eles tivessem lido ou pesquisado”, disse Martin Lee, líder EMEA da Talos, a divisão de inteligência de ameaças cibernéticas da gigante de equipamentos de TI Cisco. disse à CNBC em uma entrevista.
“Antes disso, isso nunca foi discutido. Não existia nem mesmo o conceito teórico de ransomware.”
O perpetrador, um biólogo formado em Harvard chamado Joseph Popp, foi capturado e preso. No entanto, após apresentar comportamento errático, ele foi considerado inapto para ser julgado e retornou aos Estados Unidos.
Como o ransomware se desenvolveu
Desde que o Trojan AIDs surgiu, o ransomware evoluiu muito. Em 2004, um agente de ameaças teve como alvo cidadãos russos com um programa criminoso de ransomware conhecido hoje como “GPCode”.
O programa foi entregue às pessoas por e-mail – um método de ataque hoje conhecido como “phishing”. Os usuários, tentados pela promessa de uma oferta de carreira atraente, baixavam um anexo que continha malware disfarçado de formulário de candidatura a emprego.
Depois de aberto, o anexo baixava e instalava malware no computador da vítima, verificando o sistema de arquivos, criptografando arquivos e exigindo pagamento por transferência bancária.
Então, no início de 2010, os hackers de ransomware recorreram à criptografia como método de pagamento.
Em 2013, apenas alguns anos após a criação do bitcoin, surgiu o ransomware CryptoLocker.
Os hackers que visavam as pessoas com este programa exigiam pagamento em bitcoin ou em vouchers de dinheiro pré-pagos – mas foi um dos primeiros exemplos de como a criptografia se tornou a moeda preferida dos invasores de ransomware.
Mais tarde, exemplos mais proeminentes de ataques de ransomware que selecionaram a criptografia como método de pagamento de resgate preferido incluíram nomes como Quero chorar e Petya.
“As criptomoedas oferecem muitas vantagens para os bandidos, precisamente porque são uma forma de transferir valor e dinheiro para fora do sistema bancário regulamentado de uma forma anônima e imutável”, disse Lee à CNBC. “Se alguém pagou a você, esse pagamento não pode ser revertido.”
O CryptoLocker também se tornou conhecido na comunidade de segurança cibernética como um dos primeiros exemplos de uma operação de “ransomware como serviço” – isto é, um serviço de ransomware vendido por desenvolvedores a hackers mais novatos por uma taxa que lhes permite realizar ataques. .
“No início de 2010, tivemos esse aumento na profissionalização”, disse Lee, acrescentando que a gangue por trás do CryptoLocker teve “muito sucesso na operação do crime”.
O que vem a seguir para o ransomware?
À medida que a indústria do ransomware evolui ainda mais, os especialistas prevêem que os hackers continuarão a encontrar cada vez mais formas de utilizar a tecnologia para explorar empresas e indivíduos.
Em 2031, o ransomware será previsto custar às vítimas um total combinado de US$ 265 bilhões anualmentede acordo com um relatório da Cybersecurity Ventures.
Alguns especialistas temem que a IA tenha reduzido a barreira de entrada para criminosos que procuram criar e usar ransomware. Ferramentas generativas de IA, como o ChatGPT da OpenAI, permitem que usuários comuns da Internet insiram consultas e solicitações baseadas em texto e obtenham respostas sofisticadas e humanas – e muitos programadores estão até usando isso para ajudá-los a escrever código.
Mike Beck, diretor de segurança da informação da Darktrace, disse ao “Squawk Box Europe” da CNBC que há uma “enorme oportunidade” para a IA – tanto para armar os cibercriminosos quanto para melhorar a produtividade e as operações nas empresas de segurança cibernética.
“Temos que nos munir das mesmas ferramentas que os bandidos estão usando”, disse Beck. “Os bandidos usarão as mesmas ferramentas que estão sendo usadas hoje junto com todo esse tipo de mudança.”
Mas Lee não acredita que a IA represente um risco de ransomware tão grave como muitos pensam.
“Há muitas hipóteses de que a IA é muito boa para a engenharia social”, disse Lee à CNBC. “No entanto, quando você olha para os ataques que estão por aí e claramente funcionando, tende a ser os mais simples que são tão bem-sucedidos”.
Visando sistemas em nuvem
Uma ameaça séria a ser observada no futuro poderia ser a dos hackers que visam sistemas em nuvem, que permitem às empresas armazenar dados e hospedar sites e aplicativos remotamente a partir de data centers distantes.
“Não vimos muitos ransomware atingindo sistemas em nuvem e acho que esse provavelmente será o futuro à medida que avança”, disse Lee.
Poderemos eventualmente ver ataques de ransomware que criptografam ativos em nuvem ou retêm o acesso a eles, alterando credenciais ou usando ataques baseados em identidade para negar o acesso dos usuários, de acordo com Lee.
Espera-se também que a geopolítica desempenhe um papel fundamental na forma como o ransomware evoluirá nos próximos anos.
“Nos últimos 10 anos, a distinção entre ransomware criminoso e ataques de estados-nação está se tornando cada vez mais confusa, e o ransomware está se tornando uma arma geopolítica que pode ser usada como uma ferramenta geopolítica para perturbar organizações em países considerados hostis”, disse Lee. .
“Acho que provavelmente veremos mais disso”, acrescentou. “É fascinante ver como o mundo do crime pode ser cooptado por um Estado-nação para cumprir as suas ordens.”
Outro risco que Lee vê ganhando força é o ransomware distribuído de forma autônoma.
“Ainda há espaço para que haja mais ransomwares que se espalhem de forma autônoma – talvez não atingindo tudo em seu caminho, mas limitando-se a um domínio específico ou a uma organização específica”, disse ele à CNBC.
Lee também espera que o ransomware como serviço se expanda rapidamente.
“Acho que veremos cada vez mais o ecossistema de ransomware se tornar cada vez mais profissionalizado, movendo-se quase exclusivamente em direção ao modelo de ransomware como serviço”, disse ele.
Mas mesmo que as formas como os criminosos usam o ransomware devam evoluir, não se espera que a composição real da tecnologia mude drasticamente nos próximos anos.
“Fora dos provedores de RaaS e daqueles que aproveitam cadeias de ferramentas roubadas ou adquiridas, as credenciais e o acesso ao sistema provaram ser eficazes”, disse Jake King, líder de segurança da empresa de pesquisa na Internet Elastic, à CNBC.
“Até que apareçam mais obstáculos para os adversários, provavelmente continuaremos a observar os mesmos padrões.”