Vírus cibernético: Ransomware chega aos 35 anos e se torna um problema bilionário

O ransomware se tornou uma indústria bilionária. No entanto, nem sempre foi tão grande — muito menos um risco cibernético predominante como é hoje.

Surgido na década de 1980, o ransomware é um tipo de malware usado por cibercriminosos para bloquear arquivos em um computador e exigir pagamento para liberá-los.

A tecnologia, que completou oficialmente 35 anos em 12 de dezembro, evoluiu muito, permitindo que criminosos criem ransomware de forma mais rápida e o implementem em múltiplos alvos.

Cibercriminosos arrecadaram US$ 1 bilhão em pagamentos de criptomoedas extorquidos de vítimas de ransomware em 2023 — um recorde, segundo dados da empresa de análise de blockchain Chainalysis.

Especialistas preveem que o ransomware continuará evoluindo, com tecnologias modernas como computação em nuvem, inteligência artificial (IA) e questões geopolíticas moldando o futuro.

Como surgiu o ransomware

O primeiro evento considerado um ataque de ransomware ocorreu em 1989. Um hacker enviou fisicamente disquetes que alegavam conter software capaz de ajudar a determinar se uma pessoa estava em risco de desenvolver AIDS.

No entanto, ao ser instalado, o software escondia diretórios e criptografava nomes de arquivos nos computadores das vítimas após 90 reinicializações.

Em seguida, exibia uma nota de resgate solicitando um cheque administrativo para um endereço no Panamá, a fim de restaurar os arquivos e diretórios.

O programa ficou conhecido pela comunidade de cibersegurança como o “AIDS Trojan”.

“Foi o primeiro ransomware, criado puramente pela imaginação de alguém. Não era algo baseado em pesquisas ou teorias anteriores”, afirmou Martin Lee, líder da divisão de inteligência de ameaças cibernéticas Talos, da Cisco, em entrevista à CNBC.

O responsável, o biólogo Joseph Popp, formado em Harvard, foi preso, mas considerado mentalmente incapaz de ser julgado e retornou aos Estados Unidos.

A evolução

Desde o surgimento do AIDS Trojan, o ransomware passou por grandes mudanças. Em 2004, um ator malicioso lançou o programa “GPCode”, direcionado a cidadãos russos.

O ataque era feito via e-mail — um método que hoje chamamos de “phishing”. Prometendo uma oferta de emprego atraente, o e-mail trazia um anexo que instalava malware no computador da vítima, criptografava arquivos e exigia pagamento via transferência bancária.

Na década de 2010, hackers começaram a usar criptomoedas como método de pagamento.

Em 2013, o ransomware CryptoLocker surgiu, exigindo pagamento em bitcoin ou vouchers pré-pagos. Foi um dos primeiros exemplos de como o uso de criptomoedas se popularizou entre cibercriminosos.

Mais tarde, ataques notórios como WannaCry e Petya consolidaram as criptomoedas como a moeda preferida para resgates.

“Criptomoedas oferecem vantagens aos criminosos, pois permitem transferências de valor fora do sistema bancário regulado, de forma anônima e irreversível”, explicou Lee.

O CryptoLocker também foi um dos primeiros casos de “ransomware como serviço” (RaaS), em que desenvolvedores vendem ferramentas de ransomware para hackers inexperientes.

O que vem a seguir para o ransomware?

Com o avanço da indústria de ransomware, especialistas acreditam que hackers continuarão encontrando novas formas de explorar empresas e indivíduos.

Um relatório da Cybersecurity Ventures prevê que, até 2031, o ransomware custará às vítimas US$ 265 bilhões por ano.

Ferramentas de inteligência artificial (IA) como o ChatGPT têm tornado mais acessível a criação de ransomware.

“Precisamos usar as mesmas ferramentas que os criminosos estão utilizando”, disse Mike Beck, diretor de segurança da Darktrace, à CNBC.

Por outro lado, Lee acredita que o risco de IA ser usada para ransomware é menor do que parece. “Os ataques mais eficazes ainda tendem a ser os mais simples”, afirmou.

Ameaças ao armazenamento em nuvem

No futuro, ataques a sistemas em nuvem podem se tornar uma ameaça séria, já que empresas utilizam esses serviços para armazenar dados e hospedar aplicativos.

“Ainda não vimos muitos ataques de ransomware direcionados à nuvem, mas é algo provável no futuro”, disse Lee.

Além disso, questões geopolíticas devem influenciar a evolução do ransomware.

“Nos últimos 10 anos, a distinção entre ataques de ransomware e ações de Estados-nação está cada vez menos clara. O ransomware está se tornando uma arma geopolítica para desestabilizar organizações de países considerados hostis”, explicou Lee.

Outra tendência é o ransomware distribuído autonomamente, direcionado a domínios ou organizações específicas.

Por fim, espera-se que o modelo de ransomware como serviço se expanda rapidamente, tornando o ecossistema mais profissionalizado.

Embora novas formas de usar ransomware estejam em desenvolvimento, a base da tecnologia não deve mudar drasticamente nos próximos anos.

“Enquanto não surgirem barreiras mais fortes, provavelmente veremos os mesmos padrões”, concluiu Jake King, especialista em segurança da Elastic.