O ransomware é um malware que bloqueia os computadores das vítimas. Para os desbloquear, os cibercriminosos exigem pagamentos. Este tipo de ataque cresceu 550 por cento mas agora tem um adversário à altura: a Europol, a polícia holandesa, a Intel Security e a Kaspersky Lab uniram-se e criaram o No More Ransom, um portal que ajuda as vítimas a não ceder à chantagem dos criminosos.
A Polícia Nacional Holandesa, a Europol, a Intel Security e a Kaspersky Lab juntaram-se para lançar uma iniciativa chamada No More Ransom – um passo em frente na cooperação entre forças policiais e sector privado, com o objetivo de combater o ransomware. No More Ransom (www.nomoreransom.org) é um novo portal online que visa informar as pessoas acerca dos perigos do ransomware, bem como ajudar as vítimas a recuperar os seus dados sem terem de pagar aos hackers.
O ransomware é um tipo de malware que bloqueia os computadores das vítimas ou que encripta os seus dados, obrigando-os a pagar para que possam voltar a ter controlo sobre o dispositivo ou ficheiros afetados. O ransomware é uma ameaça máxima para as forças policiais da União Europeia e, por isso, quase dois terços dos Estados-membros estão a conduzir investigações em torno desta forma de ataque de malware. Embora o target habitual deste tipo de ataques sejam dispositivos individuais, redes corporativas e governamentais também são afetadas. O número de vítimas está a crescer de forma alarmante: de acordo com a Kaspersky Lab, o número de utilizadores atacados pelo crypto-ransomware cresceu 550%, de 131 000 em 2014-2015 para 718 000 em 2015-2016.
NoMoreRansom.org
O objetivo do portal online www.nomoreransom.org é fornecer recursos que ajudem as vítimas de ransomware a recuperar do problema. Os utilizadores podem encontrar em Headline Kaspersky Lab Informs informação sobre o que é, exatamente, o ransomware, como funciona e, acima de tudo, como se podem proteger dele. Estar atento é crucial, uma vez que não existem ferramentas de descodificação para todos os tipos de malware existentes atualmente. No caso de se estar infetado, o mais provável é que os dados se percam para sempre. Exercitar um uso consciente da internet seguindo um simples conjunto de indicações de ciber segurança pode ajudar a evitar o ataque.
O projeto fornece ferramentas aos utilizadores que podem ajudá-los a recuperar os seus dados, uma vez que estes tenham sido bloqueados pelos criminosos. Neste estado inicial, o portal contém quatro ferramentas de descodificação para diferentes tipos de malware; o último a ser desenvolvido foi para a variante Shade, em junho de 2016.
Shade é um tipo de ransomware Trojan que emergiu em finais de 2014. Este malware propaga-se através de websites malignos e anexos de e-mail infetados. Depois de entrar no sistema do utilizador, o Shade encripta ficheiros localizados no mesmo e cria um ficheiro .txt que contém notas de pagamento e instruções provenientes dos hackers sobre o que fazer para ter os ficheiros pessoais de volta. O shade utiliza fortes algoritmos de descodificação para cada ficheiro encriptado, com dois códigos de 256-bit AES gerados: um é utilizado para encriptar o conteúdo dos ficheiros e o outro para encriptar o nome do ficheiro.
Desde 2014, a Kaspersky Lab e a Intel Security evitaram mais de 27 000 tentativas de ataque através do Shade Trojan. A maioria das infeções ocorreu na Rússia, Ucrânia, Alemanha, Áustria e Cazaquistão, ainda que também tenha sido registada atividade em países como França, República Checa, Itália e Estados Unidos da América.
A trabalhar juntos e partilhando informação entre as partes, o comando e centro de controlo do Shade utilizado pelos criminosos para armazenar códigos para descodificação foi confiscado e os códigos foram partilhados com a Kaspersky Lab e com a Intel Security. Isto ajudou a que fosse criada uma ferramenta especial que pode ser descarregada pelas vítimas através do portal No More Ransom para que estas recuperem os seus dados sem terem de pagar aos criminosos. A ferramenta contém mais de 160.000 códigos.
Cooperação público-privada
O projeto foi concebido como uma iniciativa não comercial que coloca em cooperação instituições públicas e privadas. Devido à natureza do ransomware, permanentemente em transformação, com hackers a desenvolver novas variantes numa base regular, este portal está aberto à cooperação de novos parceiros.
Wilbert Paulissen, Diretor da Divisão de Investigação Criminal Nacional da Polícia Holandesa, afirma: “Nós, polícia holandesa, não conseguimos combater sozinhos o cibercrime e o ransomware. Isto é uma junção de responsabilidade entre a polícia, o Departamento de Justiça, a Europol e empresas TIC, o que implica um esforço partilhado. Estamos por isso muito felizes pela colaboração da polícia com a Intel Security e com a Kaspersky Lab. Juntos faremos tudo o que estiver ao nosso alcance para perturbar os esquemas de fazer dinheiro dos criminosos, e devolver ficheiros aos respetivos donos sem que estes tenham de pagar grandes quantias de dinheiro.”