Cada malware tem suas próprias características e peculiaridades mirando sempre a maior eficiência na hora de transformar um ataque em dinheiro. No entanto, um vírus específico, que ficou conhecido como Ryuk, conseguiu render quase US$ 4 milhões aos malfeitores graças a uma estratégia curiosa: atacar apenas alvos valiosos.
Duas empresas de segurança, a CrowdStrike e a FireEye, perceberam este comportamento e publicaram análises sobre o caso. O que ambas perceberam é que a infecção às vezes acontecia até um ano antes de o malware se manifestar, mantendo-se escondido até os cibercriminosos encontrarem o melhor momento para atacar.
A técnica envolve uma infecção por meio de um trojan conhecido como Trickbot. A missão deste software é penetrar computadores e redes de empresas por múltiplos meios; uma vez instalado, o software faz o download e instalação do Ryuk.
O que os especialistas perceberam, no entanto, é que o Ryuk só era instalado nas redes de grandes corporações, que tenham dinheiro para bancar um resgate pesado para desbloquear arquivos importantes. Computadores pessoais e de empresas pequenas, no entanto, não tinham o Ryuk instalado, mesmo quando infectados com o Trickbot.
Segundo a CrowdStrike, a técnica de mirar apenas nos grandes alvos trouxe bons resultados. Foram registradas pelo menos 52 transações em bitcoins desde agosto de 2018, movimentando o equivalente a US$ 3,7 milhões.
Uma outra vantagem da abordagem do Ryuk é que o malware demora para agir, o que significa que ele tende a passar bastante tempo despercebido na rede interna. Desta forma, os cibercriminosos podem coletar informações preciosas dentro da rede e maximizar o dano, de modo a criar mais incentivos para que as vítimas paguem o valor exigido.
Sucesso maior que o WannaCry
Em maio de 2017, o mundo abriu os olhos para a gravidade da ameaça do ransomware após cerca de 300 mil dispositivos espalhados pelo mundo começarem a serem bloqueados com a ameaça WannaCry. A técnica foi diferente, afetando computadores de forma indiscriminada, e o resultado financeiro foi significativamente menor.
A carteira de bitcoins vinculada ao WannaCry recebeu vários depósitos de pessoas que procuravam desbloquear seus computadores, totalizando 61,6 bitcoins. No momento em que essas moedas começaram a ser “sacadas” pelos cibercriminosos, estima-se que seu valor era de US$ 148 mil.