O histórico do ransomware na América Latina é curioso. Entre 2014 e 2017, a quantidade de ataques aumentava a uma média de 30% por ano. Porém, após o famoso caso do WannyCry há três anos, o interesse dos cibercriminosos diminuiu. Mas depois de um período de tranquilidade, esta modalidade de ataque ressurgiu em 2018 e, desde então, apresenta um crescimento constante de quase 7% ao ano na região. O motivo para o ressurgimento foi a mudança de foco dos ataques: deixaram de ser massivos para se concentrar em vítimas direcionadas, como empresas, entidades governamentais e setores industriais críticos.

A lista de países mais atacados na região é liderada pelo Brasil, que registrou quase metade das detecções (46,69%). Em seguida, estão México (22,57%), Colômbia (8,07%), Peru (5,56%), Equador (3,86%), Chile (2,29%), Venezuela (2,17% e Argentina (1,93%). De acordo com Santiago Pontiroli, analista de segurança da Kasperksy na América Latina, as más práticas das empresas e entidades governamentais permitem que o ransomware seja uma ameaça real.

"Praticamente, dois em cada três dispositivos latino-americanos apresentam vulnerabilidades críticas. De acordo com nossos dados, 55% dos computadores da região ainda usam o Windows 7 e 5% o Windows XP. Mas, o mais assustador é que a taxa de softwares piratas é de 66%* - quase o dobro da taxa mundial, que é de 35%", afirma Pontiroli. O pesquisador de segurança destaca ainda que a situação é tão crítica na região que o WannaCry ainda é a família de ransomware número 1. "Este ataque explora a vulnerabilidade MS17-010 que está corrigida desde 2017, porém as organizações não a corrigem."

Pontiroli destaca ainda que as senhas simples são o segundo fator para o ransomware estar ganhando relevância como um ataque efetivo contra as organizações. A análise da Kaspersky mostrou também que cerca de 80% dos ataques de rede detectados na região exploram o protocolo de comunicação remota RDP (remote desktop protocol). Nela, os criminosos procuram sistemas mal configurados ou sem as atualizações correspondentes para obter o acesso ao sistema e efetuar a infecção já dentro do ambiente corporativo.

Segundo dados do Panorama de Ameaças da Kaspersky na América Latina, os ataques que tentam adivinhar as senhas de acesso ao protocolo RDP somaram 517,1 milhões na região de janeiro a setembro deste ano, uma média de 1.400 bloqueios por segundo. As estatísticas da Kaspersky mostram um pico desses ataquem em abril, porém, eles voltaram a crescer em julho e setembro.

Há também uma novidade que caracteriza os ataques de ransomware mais recentes: a dupla extorsão. "Embora as campanhas atuais tenham menos vítimas, elas atuam em duas etapas: primeiro, o criminoso cobra o resgate dos dados e, caso a empresa não aceite pagar, o valor do resgate aumenta e então começa a segunda parte da chantagem, em que a ameaça é tornar púbicos os dados roubados. Há ainda uma terceira alternativa para monetizar o ataque, que é a venda dos dados roubados em um leilão. Neste caso, tanto a empresa quanto qualquer outra organização (legal ou criminosa) terá acesso aos dados sigilosos da corporação atacada", explica Portiroli .Entre as famílias de ransomware mais ativas na região estão a REvil (também conhecida como Sodin o Sodinokibi), Maze, Ryuk, Netwalker, Zeppelin, DoppelPaymer, Dharma e Mespinoza. Embora o número de ataques tenha aumentado moderadamente em comparação com outros anos, o pesquisador da Kaspersky destaca ainda que esses ataques vêm causando milhões em perdas para grandes empresas, principalmente nos setores da saúde, telecomunicações e indústrias.

Para evitar ser vítima destes ataques, a Kaspersky recomenda que os usuários corporativos:

• Mantenham todos os programas e sistemas operacionais atualizados com a última versão. E não usem softwares piratas, pois a economia não justifica a perda econômica gerada por um ciberincidente.

• Realizem treinamentos de conscientização de segurança, principalmente para explicar aos funcionários os riscos de abrir links, sites e arquivos anexos suspeitos a partir de equipamentos corporativos, além de recomendar a criação de senhas complexas e diferenciadas.

• Imponham o uso de uma conexão segura (com o uso de uma VPN) para acessar remotamente qualquer recurso da empresa.

• Tenham uma solução de segurança de qualidade, como o Kaspersky Endpoint Security for Business, configurado corretamente para detectar comportamentos suspeitos, e que permita a reversão automática de arquivos - estas são tecnologias de proteção específicas para o combate ao ransomware.

• Façam cópias de segurança (backups) de seus dados, tendo cópias off-line e em serviços de nuvem de qualidade para evitar que elas também sejam criptografadas.

Além disso, a Kaspersky é sócia cofundadora da iniciativa 'No More Ransom', lançada em julho de 2016, juntamente com a Polícia Nacional Holandesa, a Europol e a McAfee, e que fornece recursos úteis para as vítimas desta ameaça. Hoje, o projeto conta com 163 parceiros em todo o mundo, incluindo a Polícia Nacional Colombiana e o CSIRT de Buenos Aires. A plataforma está disponível em 36 idiomas e pode descriptografar 140 tipos diferentes de ransomware. Saiba mais em http://www.nomoreransom.org.