novembro 25, 2013

[Segurança] Ransomwares no Brasil

É comum vermos na imprensa notícias sobre um tipo de código malicioso chamado de "ransonware". Eles são um tipo de malware muito comum na Europa e nos EUA que, após infectar um computador, causam algum tipo de bloqueio aonde a vítima é obrigada a pagar uma taxa para ter sua máquina liberada. É um tipo de "sequestro virtual", por assim dizer. Nos casos mais comuns, eles criptografam os arquivos da vítima e exibe uma mensagem exigindo o pagamento para restaurar o acesso.

Alguns dos ransomwares mais conhecidos enganam a vítima ao se fazer parecer com uma suposta notificação judicial da polícia, que mostra uma mensagem (falsa) exigindo o pagamento de uma "multa" pelo fato do computador ter arquivos piratas, ter conteúdo pornográfico ou pelo usuário ter navegado em sites ilegais. Tem até mesmo um que faz se passar por uma mensagem do governo americano dizendo que seu computador foi identificado pelo PRISM, o programa de espionagem da NSA denunciado pelo Edward Snowden! Mas isso é golpe: não existe policia nenhuma no mundo que fica monitorando isso e exija o pagamento de multa online.

 


Segundo uma pesquisa da Symantec, essa "multa" varia entre 50 e 100 euros na Europa, e geralmente é de 200 dólares nos EUA (eu diria de 100 ou 200 dólares). Segundo suas estimativas, as gangues que utilizam o ransomware conseguem extorquir mais de 5 milhões de dólares através desse esquema de extorsão das vítimas.

Mas há casos recentes de ciber criminosos exigindo quantias de até 3.000 dólares para "liberar" o computador (ou os arquivos). Há poucos meses atrás o G1 publicou uma reportagem do Altieres Rohr sobre um ransomwere que estava assustando usuários brasileiros, exigindo 3 mil dólares para liberar o acesso aos arquivos do computador que o ransomware encriptou (ou seja, ele infecta o computador, encripta vários arquivos e deixa uma mensagem para a vítima procurá-lo, e ele exige 3.000 dólares para desencripitar). Neste caso, tratava-se de um ransomwere criado por ciber criminosos de fora mas que estava infectando usuários em vários lugares do mundo, incluindo no Brasil e na Austrália.

Recentemente, o CERT americano divulgou um alerta sobre o CryptoLocker, um ransomware que afeta computadores rodando Windows e que encripta os arquivos locais, além de arquivos localizados em drives de rede, HDs externos, pen drives e até mesmo arquivos armazenados na nuvem. Neste caso, há relatos de que o ciber criminoso exige 300 dólares para desencriptar os arquivos e outros relatos de que ele exige 3 mil.

Os usuários são infectados por esses ransonwares da mesma forma que são infectados por malwares tradicionais: normalmente através de mensagens falsas, de phishing, aonde são convencidas a clicar em um link e abaixar um arquivo, que ela pensa ser uma imagem ou um documento, mas na verdade é um executável.

Mas não há grandes motivos para preocupação - não pelo menos, por aqui. Embora este tipo de golpe seja muito popular nos EUA e na Europa, principalmente por conta dos ciber criminosos da Europa Oriental e Rússia, ele é muito raro aqui no Brasil. Na verdade, praticamente todos os casos que acontecem aqui no Brasil de ransomware são porque os usuários acabaram infectados por ransomwares estrangeiros "por acidente", visitando sites lá fora ou sendo infectados por mensagens de phishing enviadas por ciber criminosos gringos. Praticamente não há ciber criminosos brasileiros criando ou distribuindo ransomwares.

Ou seja: ransonwares criados por brasileiros e atacando usuários brasileiros são muito raros. A reportagem do G1 citou um ransomware nacional que surgiu no ano passado e tentava convencer o usuário a comprar uma licença da Microsoft (falsa) por possuir o Windows pirata. Neste caso, em vez de receber o pagamento, como normalmente acontece nos ransomwares, o código brasileiro pedia os dados de cartão de crédito e os enviava para os ciber criminosos, que posteriormente poderiam cloná-lo. O único outro caso que eu conheço foi de uns brasileiros que tentaram criar um antivírus falso em 2009 (chamado Byte Clark), e que foi denunciado pelo Linha Defensiva.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.