Categorias

Três décadas de ransomware: uma linha do tempo da nova praga digital

Quem viu apenas as epidemias recentes do Petya/NotPetya e do WannaCry pode acreditar que ransomwares sejam uma ameaça que emergiu somente esse ano.

Na verdade, estávamos falando de ransomwares por aqui desde o início ano passado e estudos apontam que nos últimos 11 anos esse tipo de ataque superou o número de vazamentos de dados, que figuram com mais frequência nas manchetes.

E, se cavarmos ainda mais fundo, podemos encontrar raízes desse tipo de praga digital em um passado ainda mais distante. O ransomware não é de hoje, tem uma longa estrada no passado, está evoluindo e ainda tem um longo caminho para frente, infelizmente.

O Início

O registro mais antigo de um vírus com esse tipo de capacidade remonta o ano de 1989. José Sarney ainda era presidente do Brasil e Fernando Collor de Mello e Luís Inácio “Lula” da Silva disputavam o segundo turno da primeira eleição direta no país em décadas. Lá fora, caía o Muro de Berlim. Em termos de tecnologia, a primeira proposta da World Wide Web era apresentada por Tim Berners-Lee e surgiam os primeiros provedores de acesso à internet comerciais.

aids-diskette
Disquete original comprometido.

E surgia também o AIDS, um malware que foi distribuído em 20.000 disquetes contaminados entregues pelo correio a conferencistas de uma convenção realizada pela Organização Mundial da Saúde para debater a doença homônima. O vírus era uma bomba-relógio: após a 90º inicialização do sistema, ele escondia diretórios e encriptava todos os arquivos do drive C:. Para “renovar a licença”, segundo sua mensagem de resgate, a vítima deveria enviar US$189 para uma caixa-postal localizada no Panamá. Antes da web como conhecemos hoje, antes das moedas virtuais, ele era um legítimo ransomware.

Curiosamente, o pioneiro do gênero não era um hacker ou mesmo um profissional de tecnologia, mas o biólogo Dr. Joseph Popp, que alegou estar arrecadando fundos para a pesquisa da AIDS. Mais tarde, ele foi considerado mentalmente inimputável e liberado das acusações.

aids-ransomware
A tela de instruções do AIDS

Na prática, o AIDS nem mesmo encriptava o conteúdo dos documentos, apenas trocava seus nomes e extensões.  Popp também utilizou um modelo de criptografia simétrico, não baseado em uma chave privada, e os especialistas de segurança conseguiram produzir com facilidade ferramentas capazes de liberar os arquivos comprometidos.

Adam Young e Moti Yung, dois pesquisadores, se debruçariam sobre o vírus criado por Popp e publicariam em 1996 um artigo seminal a respeito do tema: “Cryptovirology: Extortion-Based Security Threats and Countermeasures“. Nesse estudo, eles revelam os riscos envolvidos em uma praga digital capaz de utilizar criptografia avançada para bloquear por completo a recuperação de arquivos, dando início ao ramo de segurança conhecido como Criptovirologia.

Apesar do temor, o conceito de ransomware permaneceria adormecido por mais uma década. Archievus surgiria em 2006 e se provaria muito mais complexo do que o AIDS para ser contornado: ele utilizava uma chave de criptografia RSA assimétrica para criptografar tudo que encontrasse na pasta Meus Documentos. Para efetuar o resgate, as vítimas precisavam efetuar compras em sites específicos para desbloquear uma senha. A caixa de Pandora prevista por Young e Yung dez anos antes começava a ser aberta…

Falsos Bloqueios

Mas a partir de 2011, e ainda por um longo tempo, o cenário dos ransomware seria dominado por um outro tipo de ameaça: não uma ameaça que bloqueava arquivos individualmente, mas que bloqueava o acesso ao sistema operacional como um todo. Reveton, o primeiro deles a ter um nome específico, emergiria em 2012 mas as características eram similares a vários que surgiram antes: alegando ter detectado atividades ilegais no computador, ele travava o acesso e exigia o pagamento de uma “multa” ao usuário.

Usando carteiras virtuais, os ransomwares fingiam ser o FBI, a polícia, o governo dos Estados Unidos e usavam táticas de susto para enganar suas vítimas, as induzindo a acreditar que haviam sido pegas no flagrante em algum tipo de comportamento criminoso ou vexaminoso. Reveton chegava a exibir imagens da webcam para sugerir que seu alvo estava sendo monitorado constantemente, mas, na verdade, as imagens não eram transmitidas para lugar nenhum. A vergonha e o medo levavam muitas de suas vítimas a pagar a tal multa. Em muitos casos, o computador nem mesmo estava bloqueado de verdade, apenas exibia uma mensagem facilmente contornável na inicialização.

Multiple-Reveton-Ransomware-Attacks
Reveton era capaz de exibir mensagens de alerta localizadas, em diferentes linguagens e fingindo ser diferentes forças policiais, de acordo com o IP da vítima.

Essa variável de falsos bloqueios não ficou confinada aos PCs, mas chegou a estender seus tentáculos para o ambiente Android, com vírus como Sypeng e Koler fingindo ser alertas do FBI ou outras autoridades e se replicando através da lista de contato das vítimas. E, embora tenha caído em desuso, esse tipo de ameaça ainda sobrevive com alguns casos esporádicos e muitas das suas ideias foram reaproveitadas nos ataques atuais que simulam um falso incidente de suporte técnico.

Criptocaos

Em Setembro de 2013, o ransomware como é mais conhecido na mídia finalmente ganhou sua forma sob o nome Cryptolocker.

Ele era a concretização de uma receita que seria seguida à exaustão pelos anos seguintes: era obtido via download por sites comprometidos ou enviado através de campanhas de phishing, utilizava criptografia (uma chave AES-256 para encriptar arquivos, seguida de uma chave 2048bits da RSA para encriptar a chave), empregava servidores de comando e controle camuflados pela rede Tor e os cibercriminosos ainda ameaçavam destruir a chave individual depois de três dias se o pagamento não fosse efetuado. Para ampliar seu poder de disseminação, o Cryptolocker estava baseado na infraestrutura da botnet GameOver Zeus.

Em 2014, esse tipo de ataque já começava seu processo de rápida evolução: CryptoWall adotava o bitcoin como moeda padrão de resgate e passava a ser incluído em pacotes de exploits, alargando o número de vítimas que poderiam ser afetadas. Ele também empregava as APIs do próprio Windows para realizar a criptografia dos arquivos. Um império do crime com uma estrutura colossal foi utilizado para sustentar a operação e calcula-se que, em 2015, o CryptoWall tenha movimentado sozinho cerca de 325 milhões de dólares em resgates.

cryptowall
Tela de instruções do CryptoWall

Em 2015, a cena se profissionalizou ainda mais: surgiram os primeiros pacotes de RaaS, ou Ransomware-as-Service,  onde qualquer um poderia adquirir uma ferramenta dessas no submundo com interfaces amigáveis, por um custo fixo mais um porcentual dos resgates obtidos.

Nesse mesmo ano apareceria o TeslaCrypt, um dos mais duradouros e sofisticados ransomwares no mercado, empregando chaves de criptografia de um nível jamais visto, integrado com kits de vulnerabilidade, comercializado como RaaS e com capacidades de persistência e resistência que iludiram os pesquisadores de segurança por um longo tempo. Mas os próprios autores se arrependeram de sua criação e soltaram a chave-mestra no mercado.

Em 2016, o Locky iniciaria uma das mais perturbadoras tendências no uso de ransomwares: o ataque a sistemas vitais de instituições médicas. Os cibercriminosos aprenderam que atacar hospitais era uma forma garantida de se obter um pagamento rápido e vítimas foram feitas em diversos hospitais norte-americanos e na Europa, em busca de um lucro fácil.

locky-recover-instructions
Tela de instruções do Locky

Esse mesmo ano também viu uma explosão no número de casos, uma prévia do que seriam as epidemias de 2017. Nesse ecossistema de caos, o Petya aumentava o grau da ameaça: o ransomware não apenas encriptava arquivos, mas comprometia o setor de Master Boot Record (MBR) do disco rígido e prometia dobrar o valor do resgate exigido se a vítima demorasse a pagar. Somente agora seu criador liberou a chave-mestra publicamente.

E o futuro?

A opinião dos especialistas é unânime: o cenário dos ransomwares ainda vai piorar muito antes de melhorar.

O ano de 2017 viu surgir duas epidemias que paralisaram empresas pelo mundo inteiro, as duas baseadas nas mesmas vulnerabilidades já corrigidas do Windows, o que sinaliza que a falta de cuidado por parte de usuários e administradores ainda é o calcanhar de Aquiles da segurança digital. O ataque do WannaCry (ou WannaCrypt) marcou também uma confluência até então inédita de fatores: uma vulnerabilidade jamais revelada conhecida da NSA, vazada para o público e empregada como forma de ataque. Se as suspeitas se confirmarem, o NotPetya também pode marcar o uso dos ransomwares como armas de ciberguerra e abrir caminho para um futuro ainda mais sombrio do que temos hoje.

Além disso, mesmo o cibercrime está se esforçando para tornar suas ferramentas mais elusivas. Já há ransomwares que empregam criptografia internamente, para dificultar ou mesmo impedir a análise do seu código-fonte por parte de analistas de segurança, enquanto outros não dependem mais de um servidor de comando e controle (o ponto vulnerável na cadeia) para operarem.

Por maior que tenham sido as epidemias que aconteceram até agora, ainda há espaço para uma praga pior.