Copiar, desligar, não pagar. O que fazer se foi vítima de ransomware?
O número de ataques do tipo ransomware, em que criminosos barram o acesso a programas e ficheiros, está a aumentar. A melhor táctica é a prevenção. Mas o que fazer, quando acontece?
O grupo de cibercriminosos Lockbit, responsável por barrar o acesso a ficheiros e programas de computador em todo o mundo, foi desmantelado esta semana numa operação policial internacional liderada pela Europol (Serviço de Polícia Europeu). O grupo, com mais de 30 servidores espalhados pelo mundo, é um dos responsáveis pelo aumento de ataques do tipo ransomware, em que um programa que causa danos exige um resgate para o desbloqueio de programas e ficheiros (“ransom” é a palavra inglesa para “resgate”) – por norma, através de um pagamento em criptomoedas. Online, multiplicam-se os pedidos de ajuda em plataformas de fóruns como o Reddit e o Discord.
Apesar do sucesso com o Lockbit, a Europol salienta que este tipo de ataques continua a ser uma das maiores ameaças. Em particular, quando barram o acesso a infra-estruturas críticas, como serviços de saúde ou energia. Entre Julho e Dezembro de 2023, a empresa de cibersegurança S21sec registou 2492 ataques deste tipo – é um aumento de 40% face ao período homólogo.
Quais são os primeiros sinais de uma infecção do tipo ransomware?
Um ataque de ransomware torna-se óbvio quando se fica impedido de aceder a um programa, ficheiro ou dispositivo com uma nota de resgate dos atacantes. No entanto, há alguns sinais a que se deve estar atento. “Alguns dos sinais que podem ser indicativos de problemas são, por exemplo, alterações na estrutura e nomes de pastas e ficheiros, diminuição da performance dos equipamentos ou rede, actividade anómala de acesso a determinados ficheiros”, enumera Paulo Silva, um dos líderes dos centros de operações de segurança da S21sec.
O que fazer quando se percebe que foi alvo de um ataque tipo ransomware?
Se suspeita de um ataque, é essencial contactar as autoridades para o denunciar. Além disso:
Registe detalhes importantes. Será útil para pedir ajuda a profissionais de cibersegurança e informar serviços relevantes, como a entidade bancária. Deve-se copiar a nota dos atacantes e alterações feitas a nomes e extensões de ficheiros. . A extensão é o sufixo – como .txt ou .png – que indica o tipo de ficheiro.
Desligue o dispositivo infectado. Assim que tiver registado pormenores sobre o ataque, desligue o dispositivo infectado. Para a maioria das pessoas, esta é a melhor forma de impedir a propagação do ransomware.
Desligue outros dispositivos ligados à rede. O ransomware pode espalhar-se pela rede local. Se existirem outros dispositivos na sua rede, deve desligá-los também antes de procurar ajuda. Comece pelos dispositivos com informação mais importante. “[Em empresas] isto pode significar colocar offline alguns equipamentos ou até mesmo redes inteiras. Ao tomar decisões acerca do isolamento ou desconexão de equipamentos, as organizações devem garantir que, dentro do possível, são recolhidas e preservadas as evidências necessárias para a investigação e participação às autoridades, se necessário”, alerta Paulo Silda da S21sec.
Altere palavras-passe importantes. Alguns ataques de ransomware apenas bloqueiam o acesso à informação. Outros obtêm também cópias da informação bloqueada. Como precaução, deve alterar as palavras-passe de contas que possam ser comprometidas. Este é um dos motivos para não usar a mesma palavra-passe para mais do que um serviço online.