A desvantagem de 'depurar' ransomware

Ransomware – o flagelo de segurança do mundo digital moderno – está ficando cada vez mais perigoso. Estavam educar os usuários sobre o que fazer, mas é difícil ficar à frente da criptografia matadora espalhada liberalmente em torno de camadas de faixas digitais ofuscadas que escondem as ações dos bandidos e seus arquivos. Enquanto isso, o pedágio enterra empresas e amarra as mãos de legisladores implorando por uma solução. Mas se abrirmos as chaves do ransomware, não ajudamos os bandidos a melhorar da próxima vez?

No início deste mês em um digital oficina no coração da República Tcheca, os desenvolvedores de desencriptadores de ransomware compartilharam com os participantes como eles decifraram parte do código e recuperaram os dados dos usuários. Por meio de uma análise cuidadosa, eles às vezes encontravam erros nas implementações ou operações dos bandidos, o que lhes permitia reverter o processo de criptografia e restaurar os arquivos embaralhados.

Mas quando os mocinhos anunciam a ferramenta ao público, os golpistas rapidamente reconfiguram seus produtos com táticas que são 'mais completamente inatacáveis', impedindo os pesquisadores de abrir o próximo lote de arquivos. Basicamente, os pesquisadores estão depurando os produtos dos golpistas para eles em um ciclo não virtuoso.

Então não estamos consertando, estamos perseguindo, reagindo a isso, pintando sobre o dano. Mas qualquer sucesso pode ser transitório, pois a recuperação da maior parte da devastação continua impossível para as pequenas empresas que sentiram que teve que pagar para permanecer no negócio.

Os governos – apesar de suas boas intenções – também são reativos. Eles podem recomendar, ajudar no processo de resposta a incidentes e, talvez, enviar seu suporte, mas isso também é reativo e oferece pouco conforto para um negócio recém-desestruturado.

Então eles mudam para acompanhamento de finanças. Mas os bandidos geralmente são bons em se esconder – eles podem comprar todas as boas ferramentas pagando as grandes quantias que acabaram de roubar. E, francamente, eles podem saber mais do que muitos atores do governo. É como perseguir um carro de corrida de F1 com um cavalo razoavelmente rápido.

De qualquer forma, os pesquisadores precisam ser mais do que testadores beta para os bandidos.

Você não pode simplesmente detectar as ferramentas dos cibercriminosos e bloqueá-los, pois eles podem aproveitar as ferramentas padrão do sistema usadas para a operação diária do seu computador; eles podem até ser enviados como parte do sistema operacional. As ferramentas de código aberto são a cola que mantém todo o sistema unido, mas também podem ser a cola que mantém o processo de criptografia de ransomware que bloqueia o sistema.

Então você fica com a determinação de como os criminosos agem. Ter um martelo na mão em uma oficina mecânica não é ruim até você bater em uma janela para quebrá-lo. Da mesma forma, detectar uma ação suspeita pode detectar o início de um ataque. Mas fazer isso na velocidade de novas variantes de ataque é difícil.

Aqui na Europa há um esforço significativo para convocar governos de vários países para compartilhar informações sobre tendências de ransomware, mas os grupos que lideram isso não são diretamente policiais; eles só podem esperar que as jurisdições de aplicação da lei ajam rapidamente. Mas isso não acontece na velocidade do malware.

A nuvem definitivamente ajudou, pois as soluções de segurança podem aproveitá-la para criar cenários de pré-ataque atualizados ao minuto que seu computador deve acionar para interromper um ataque.

E reduz a vida útil de ferramentas e técnicas eficazes de ransomware para que elas não ganhem muito dinheiro. Custa dinheiro para os bandidos desenvolverem um bom ransomware, e eles querem um retorno. Se suas cargas úteis funcionarem apenas uma ou duas vezes, isso não compensa. Se não der certo, eles vão fazer outra coisa que dê certo, e talvez as organizações possam voltar aos negócios.

Faça backup da unidade

Uma dica profissional da conferência: faça backup de seus dados criptografados se for atingido por ransomware. Caso um decodificador seja lançado, você ainda pode ter a chance de restaurar arquivos perdidos no futuro. Não que isso te ajude agora.

O melhor momento para fazer backup das coisas é, claro, quando você não está sendo extorquido por ransomware, mas nunca é tarde demais para começar. Embora tenha mais de uma década neste momento, o guia do WeLiveSecurity para Noções básicas de backup ainda fornece informações práticas fornece informações práticas sobre como abordar o problema e desenvolver uma solução que funcione para sua casa ou pequena empresa.

ESET contra ransomware

Caso você esteja se perguntando onde a ESET está na criação de decodificadores de ransomware, adotamos uma abordagem mista: queremos proteger as pessoas contra ransomware (que geralmente classificamos como malware Diskcoder ou Filecoder), além de fornecer maneiras de recuperar dados. Ao mesmo tempo, não queremos alertar as gangues criminosas por trás desse flagelo de que fizemos o equivalente tecnológico de abrir suas portas trancadas com um conjunto de gazuas digitais.

Em alguns casos, um decodificador pode ser publicado e disponibilizado ao público através do artigo da Base de conhecimento ESET Ferramentas autônomas de remoção de malware. No momento da publicação, temos cerca de meia dúzia de ferramentas de descriptografia disponíveis atualmente. Outras ferramentas desse tipo estão disponíveis no site da iniciativa No More Ransom, da qual a ESET é parceira associada desde 2018. Em outros casos, porém, escrevemos descriptografadores, mas não publicamos informações sobre eles publicamente.

Os critérios para anunciar o lançamento de um descriptografador variam de acordo com cada ransomware. Essas decisões são baseadas em uma avaliação cuidadosa de muitos fatores, como o quão prolífico é o ransomware, sua gravidade, a rapidez com que os autores do ransomware corrigem bugs e falhas de codificação em seu próprio software e assim por diante.

Mesmo quando as partes entram em contato com a ESET para receber assistência na descriptografia de seus dados, informações específicas sobre como a descriptografia foi realizada não são compartilhadas publicamente para permitir que a descriptografia funcione pelo maior tempo possível. Acreditamos que isso oferece a melhor compensação entre proteger os clientes contra ransomware e, ao mesmo tempo, ajudar na descriptografia de arquivos ransomwared pelo maior período de tempo possível. Uma vez que os criminosos estejam cientes de que há falhas em sua criptografia, eles poderão corrigi-las, e pode levar muito tempo até que outras falhas sejam encontradas que permitam a restauração de dados sem que seu proprietário seja extorquido.

Lidar com ransomware, tanto seus operadores quanto o próprio código do ransomware, é um processo complicado, e geralmente é um jogo de xadrez que pode levar semanas, meses ou até anos para se desenrolar enquanto os mocinhos lutam contra os bandidos. A opinião da ESET sobre isso é tentar fazer o máximo de bem, o que significa ajudar o maior número possível de pessoas pelo maior tempo possível. Isso também significa que, se você se deparar com um sistema afetado por ransomware, não perca a esperança, ainda há uma chance externa de que a ESET possa ajudá-lo a recuperar seus dados.

O ransomware pode ser um problema que não vai desaparecer tão cedo, mas a ESET está pronta para protegê-lo contra isso. Prevenir em primeiro lugar ainda é muito melhor do que curá-lo, no entanto.