Ransomware é um tipo de malware capaz de criptografar áreas de armazenamento de computadores e servidores, tornando os dados inacessíveis até que um resgate seja pago. Este tipo de ameaça é cada vez mais comum, levando a que as autoridades policiais estejam também cada vez mais atentas.
A Europol anunciou recentemente que foram detidas 12 pessoas por crimes cibernéticos com ransomware.
Uma operação policial em vários países levou à detenção de 12 pessoas suspeitas de participarem em organizações de crimes cibernéticos. Segundo a Europol, os ataques terão afetado mais de 1800 vítimas em 71 países e a investigação decorreu durante dois anos.
Os ataques envolvem várias “famílias” de ransomware, onde se destaque o LockerGoga, MegaCortex e Dharma, bem como malware Trickbot e ferramentas de pós-exploração, como o Cobalt Strike.
As ações de deteção ocorreram na madrugada de 26 de outubro especialmente na Ucrânia e na Suíça. Muitos desses suspeitos são considerados alvos de “alto valor” porque estão a ser investigados em vários casos.
No decorrer das detenções, foram apreendidos 52.000 em dinheiro e cinco veículos de luxo. Há vários dispositivos a serem analisados judicialmente para se garantir evidências e identificar novas pistas para a investigação.
O grupo que operava o ransomware LockerGoga apareceu em janeiro de 2019, após ataques à empresa francesa Altran Technologies e ao produtor de alumínio norueguês Norsk Hydro. De acordo com as estimativas, o dano causado na produtora de alumínio rondou os US$ 35 milhões.
Participaram nesta megaoperação agências especializadas da Noruega, França, Reino Unido, Suíça, Alemanha, Ucrânia, Holanda e os Estados Unidos. No total estiveram envolvidos 50 investigadores.
O que é um Ransomware?
O ransomware é um tipo de ameaça relativamente nova. Apesar do primeiro exemplo deste malware datar já do final dos anos 80, foi preciso esperar por 2013 para termos um exemplo cabal do que este novo tipo de ameaça é capaz. Foi neste ano que surgiu o Cryptolocker. Um ransomware tem o seguinte modus operandi…
- O malware é executado no computador hospedeiro, em segundo plano, sem afetar inicialmente o funcionamento da máquina;
- Os ficheiros de dados do computador e/ou de quaisquer discos a ele ligado, são criptografados em segundo plano, ficando ilegíveis, usando criptografia de chave pública;
- Após a encriptação de um número significativo de ficheiros de dados – ou de todos! – é exibida uma mensagem ao utilizador indicando o que se passa e exigindo (esta é a parte do resgate/ramsom propriamente dito) o pagamento de uma quantia, através de Bitcoin ou outra criptomoeda semelhante, não rastreável, para desencriptar os ficheiros através do fornecimento da chave – saber mais aqui.