O que é ransomware?

O que é ransomware?

Ransomware

Um ransomware é um malware que encripta os dados do utilizador com uma chave de encriptação que é conhecida apenas pelo atacante, tornando-os inutilizáveis até o utilizador pagar uma determinada quantia (geralmente em criptomoedas como Bitcoin) ao atacante para receber a chave de desencriptação. Como geralmente não existe forma de quebrar a encriptação ou de realizar um ataque de força bruta, a única forma de recuperar os seus dados é recuperá-los a partir de um backup ou pagar o resgate.

No entanto, o pagamento do resgate não é recomendável, pois não garante que irá recuperar os seus dados. Muitos indivíduos e organizações, mesmo após pagarem o resgate, não receberam as chaves de desencriptação. Para além disso, o pagamento do resgate encoraja o atacante a atacar outras vítimas, e pode incentivar outros atacantes a envolverem-se no negócio dos ransomwares.

É por isso que é importante fazer backups regulares dos seus dados. Mesmo que o seu computador seja infectado por um ransomware, poderá simplesmente recuperar os seus dados a partir de um backup, e não será necessário pagar o resgate (e correr o risco de mesmo assim não recuperar os seus dados).

Hoje em dia, o ransomware é um dos ciberataques mais comuns. Em Portugal, são conhecidos vários casos, como, por exemplo:

  • No final de 2016, o sistema onde são guardadas as imagens obtidas em exames médicos como radiografias ou TAC do Hospital Garcia de Orta foi infectado por um ransomware, deixando as imagens inutilizáveis. Não haviam backups das imagens
  • Em Agosto de 2018, alguns dos sistemas informáticos dos hospitais CUF foram infectados pelo ransomware SamSam. Devido à infecção, os hospitais CUF viram-se obrigados a desmarcar consultas e exames considerados não urgentes e os utilizadores da plataforma My CUF, direccionada para os utentes, ficaram sem acesso ao seu histórico de exames
  • Em Maio de 2018, a Portugal Telecom foi infectada por um ransomware, pelo que os seus trabalhadores receberam ordens para se desligarem da rede interna, ficando impedidos de trabalhar a partir do meio-dia

 

Fora de Portugal, são conhecidos ainda mais casos, como, por exemplo:

  • O hospital Hollywood Presbyterian Medical Center foi infectado por um ransomware e pagou um resgate de 17 mil dólares para recuperar os seus dados
  • O hospital Hancock Health foi infectado por um ransomware e pagou um resgate de 55 mil dólares para recuperar os seus dados
  • O Serviço Nacional de Saúde do Reino Unido foi infectado pelo ransomware WannaCry. Devido à infecção, foram canceladas 19 mil consultas, o que teve um custo de 20 milhões de libras entre 12 e 19 de Maio de 2018. A subsequente limpeza e actualização dos seus sistemas informáticos teve um custo de 72 milhões de libras
  • A Universidade de Calgary foi infectada por um ransomware e pagou um resgate de 20 mil dólares canadianos para recuperar os seus dados
  • A cidade de West Haven, no Connenicut, foi infectada por um ransomware e pagou um resgate de 2 mil dólares para recuperar os seus dados
  • A cidade de Atlanta foi infectada pelo ransomware SamSam, e optou por não pagar o resgate de 51 mil dólares, tendo já gasto 2.6 milhões de dólares para recuperar do ataque. Este ataque afectou 5 dos 13 departamentos do governo local da cidade, tendo perturbado muitos sistemas dos quais os cidadãos dependem todos os dias, incluindo o sistema de registos policiais, o sistema de pedidos de manutenção de infraestruturas e o sistema judicial. O ataque afectou ainda a cobrança de receitas: os residentes não conseguiram pagar as suas contas da água durante dias. A cidade de Atlanta poderá necessitar de gastar ainda mais 9.5 milhões de dólares na recuperação.
  • A polícia de Cockrell Hill foi infectada por um ransomware e perdeu 8 anos de provas
  • A operadora de telecomunicações espanhola Telefónica foi infectada pelo ransomware WannaCry, pelo que os seus trabalhadores receberam ordens para desligar os computadores e desligarem os seus telemóveis das redes Wi-Fi da empresa
  • A transportadora TNT Express foi infectada pelo ransomware NotPetya. Este ataque teve um custo de 300 milhões de dólares em rendimentos perdidos
  • A empresa farmacêutica Merck foi também infectada pelo ransomware NotPetya. Este ataque resultou em 135 milhões de dólares em vendas perdidas e 175 milhões de dólares em custos no terceiro trimestre de 2017, sendo que a empresa estimou também um impacto semelhante nas receitas e despesas no quarto trimestre

 

Geralmente, os ransomwares são distribuídos através de emails de phishing (o atacante faz-se passar por outrem com o objectivo de fazer com que abra um anexo ou abra um link) ou através de sites infectados. Para se prevenir contra a infecção de um ransomware, deverá manter o seu sistema operativo e as suas aplicações actualizadas; manter o seu antivírus actualizado; não visitar sites questionáveis; não abrir anexos nem links enviados por pessoas que não conhece; e, mesmo conhecendo o remetente, desconfie de anexos e links que não estava à espera de receber.