Evolução do ransomware:como os cibercriminosos estão visando as criptomoedas
Em maio de 2023, o governo da cidade de Dallas foi gravemente afetado por um ataque de ransomware. Os ataques de ransomware são assim chamados porque os hackers por trás deles criptografam dados vitais e exigem um resgate para que as informações sejam descriptografadas.
O ataque em Dallas interrompeu as audiências, os julgamentos e o serviço do júri, e o eventual fechamento do Edifício do Tribunal Municipal de Dallas. Teve também um efeito indirecto nas actividades policiais mais amplas, com recursos limitados que afectaram a capacidade de executar, por exemplo, programas de Verão para jovens. Os criminosos ameaçaram publicar dados sensíveis, incluindo informações pessoais, processos judiciais, identidades de prisioneiros e documentos governamentais.
Poderíamos imaginar que um ataque ao governo municipal e à força policial, causando perturbações generalizadas e prolongadas, seria manchete. Mas os ataques de ransomware são agora tão comuns e rotineiros que a maioria passa sem muita atenção. Uma exceção notável aconteceu em maio e junho de 2023, quando hackers exploraram uma vulnerabilidade no aplicativo de transferência de arquivos Moveit que levou ao roubo de dados de centenas de organizações em todo o mundo. Esse ataque ganhou as manchetes, talvez por causa das vítimas de alto perfil, que incluíam a British Airways, a BBC e a rede de farmácias Boots.
De acordo com uma pesquisa recente, os pagamentos de ransomware quase duplicaram para 1,5 milhões de dólares (1,2 milhões de libras) no ano passado, sendo as organizações com maiores rendimentos as mais propensas a pagar aos atacantes. A Sophos, uma empresa britânica de segurança cibernética, descobriu que o pagamento médio de ransomware aumentou de US$ 812 mil no ano anterior. O pagamento médio das organizações do Reino Unido em 2023 foi ainda superior à média global, de 2,1 milhões de dólares.
Entretanto, em 2022, o Centro Nacional de Segurança Cibernética (NCSC) emitiu novas orientações instando as organizações a reforçar as suas defesas face ao receio de mais ataques cibernéticos patrocinados pelo Estado ligados ao conflito na Ucrânia. Segue-se uma série de ataques cibernéticos na Ucrânia que se suspeita terem envolvido a Rússia, o que Moscovo nega.
Este artigo faz parte do Conversation Insights
A equipe do Insights gera jornalismo de formato longo derivado de pesquisas interdisciplinares. A equipe está trabalhando com acadêmicos de diferentes origens que estão envolvidos em projetos que visam enfrentar desafios sociais e científicos.
Na realidade, não passa uma semana sem que ataques afectem governos, escolas, hospitais, empresas e instituições de caridade, em todo o mundo. Estes ataques têm custos financeiros e sociais significativos. Podem afetar pequenas empresas, bem como grandes corporações, e podem ser particularmente devastadoras para os envolvidos.
O ransomware é agora amplamente reconhecido como uma grande ameaça e desafio para a sociedade moderna.
Você pode ouvir mais artigos de The Conversation, narrado por Noa, aqui.
No entanto, há dez anos, não passava de uma possibilidade teórica e de uma ameaça de nicho. A forma como evoluiu rapidamente, alimentando a criminalidade e causando danos incalculáveis, deveria ser motivo de grande preocupação. O “modelo de negócios” do ransomware tornou-se cada vez mais sofisticado, por exemplo, com os avanços nos vetores de ataque de malware, nas estratégias de negociação e na própria estrutura da empresa criminosa.
Há todas as expectativas de que os criminosos continuarão a adaptar as suas estratégias e a causar danos generalizados durante muitos anos. É por isso que é vital estudarmos a ameaça do ransomware e anteciparmos essas táticas para mitigar a ameaça a longo prazo – e é exatamente isso que a nossa equipa de investigação está a fazer.
Previsão dos custos globais de danos causados por ransomware - fonte:Cyber Security Ventures
Alpesh Bhudia, CC BY-ND
Durante muitos anos, a nossa investigação procurou prevenir esta ameaça em evolução, explorando novas estratégias que os criminosos de ransomware podem usar para extorquir as vítimas. O objetivo é alertar e estar à frente do jogo, sem identificar especificidades que possam ser utilizadas pelos criminosos. Na nossa pesquisa mais recente, que foi revisada por pares e será publicada como parte da Conferência Internacional sobre Disponibilidade, Confiabilidade e Segurança (ARES), identificamos uma nova ameaça que explora vulnerabilidades em criptomoedas.
O que é ransomware?
Ransomware pode significar coisas sutilmente diferentes em contextos diferentes. Em 1996, Adam Young e Mordechai “Moti” Yung, da Universidade de Columbia, descreveram a forma básica de um ataque de ransomware da seguinte forma:
Os criminosos violam as defesas de segurança cibernética da vítima (seja através de táticas como e-mails de phishing ou usando um funcionário interno/desonesto). Depois que os criminosos violam as defesas da vítima, eles implantam o ransomware. A principal função é criptografar os arquivos da vítima com uma chave privada (que pode ser considerada como uma longa sequência de caracteres) para bloquear o acesso da vítima aos seus arquivos. A terceira fase de um ataque começa agora com o criminoso exigindo um resgate pela chave privada.
A simples realidade é que muitas vítimas pagam o resgate, com resgates potencialmente na ordem dos milhões de dólares.
Usando esta caracterização básica do ransomware é possível distinguir diferentes tipos de ataque. Em um extremo estão os ataques de “baixo nível”, onde os arquivos não são criptografados ou os criminosos não tentam extrair resgates. Mas, no outro extremo, os atacantes fazem esforços consideráveis para maximizar a perturbação e extrair um resgate.
O ataque de ransomware WannaCry em maio de 2017 é um exemplo. O ataque, ligado ao governo norte-coreano, não fez nenhuma tentativa real de extrair resgates das vítimas. No entanto, levou a perturbações generalizadas em todo o mundo, incluindo no NHS do Reino Unido, com algumas organizações de modelização de risco de segurança cibernética a afirmarem mesmo que as perdas económicas globais ascenderam a milhares de milhões.
É difícil discernir o motivo neste caso, mas, de um modo geral, a intenção política ou o simples erro por parte dos atacantes podem contribuir para a falta de extracção de valor coerente através da extorsão.
Nossa pesquisa se concentra no segundo extremo dos ataques de ransomware, nos quais os criminosos procuram coagir dinheiro de suas vítimas. Isto não exclui uma motivação política. Na verdade, há evidências de ligações entre os principais grupos de ransomware e o Estado russo. Podemos distinguir até que ponto os ataques de ransomware são motivados por ganhos financeiros, observando o esforço investido na negociação, a vontade de apoiar ou facilitar o pagamento do resgate e a presença de serviços de branqueamento de capitais. Ao investir em ferramentas e serviços que facilitam o pagamento do resgate e a sua conversão em moeda fiduciária, os atacantes sinalizam os seus motivos financeiros.
O impacto dos ataques
Como mostra o ataque ao governo da cidade de Dallas, os impactos financeiros e sociais dos ataques de ransomware podem ser diversos e graves.
Ataques de ransomware de alto impacto, como aquele que teve como alvo a Colonial Oil em Maio de 2021 e que desligou um importante oleoduto de combustível dos EUA, são obviamente perigosos para a continuidade de serviços vitais.
Em janeiro de 2023, ocorreu um ataque de ransomware ao Royal Mail no Reino Unido que levou à suspensão das entregas internacionais. Demorou mais de um mês para que os níveis de serviço voltassem ao normal. Este ataque teria tido um impacto direto significativo nas receitas e na reputação do Royal Mail. Mas, talvez mais importante, impactou todas as pequenas empresas e pessoas que dela dependem.
Em maio de 2021, o NHS irlandês foi atingido por um ataque de ransomware. Isso afetou todos os aspectos do atendimento ao paciente, com cancelamento generalizado de consultas. O Taoiseach Micheál Martin disse:“É um ataque chocante a um serviço de saúde, mas fundamentalmente aos pacientes e ao público irlandês”. Dados confidenciais também teriam vazado. O impacto financeiro do ataque poderá atingir os 100 milhões de euros. Isto, no entanto, não leva em conta o impacto psicológico e de saúde nos pacientes e médicos afetados pela interrupção.
Além dos serviços de saúde, a educação também tem sido um alvo principal. Por exemplo, em Janeiro de 2023, uma escola em Guilford, no Reino Unido, sofreu um ataque com criminosos que ameaçaram publicar dados sensíveis, incluindo relatórios de salvaguarda e informações sobre crianças vulneráveis.
Os ataques também são programados para maximizar a interrupção. Por exemplo, um ataque em junho de 2023 a uma escola em Dorchester, no Reino Unido, deixou a escola impossibilitada de utilizar o e-mail ou de aceder a serviços durante o período de exames principal. Isto pode ter um impacto profundo no bem-estar e no desempenho escolar das crianças.
Estes exemplos não são de forma alguma exaustivos. Muitos ataques, por exemplo, visam diretamente empresas e instituições de caridade que são demasiado pequenas para atrair a atenção. O impacto numa pequena empresa, em termos de perturbação dos negócios, perda de reputação e o custo psicológico de enfrentar as consequências de um ataque, pode ser devastador. Por exemplo, uma pesquisa realizada em 2021 descobriu que 34% das empresas do Reino Unido que sofreram um ataque de ransomware fecharam posteriormente. E muitas das empresas que continuaram a operar ainda tiveram que demitir funcionários.
Tudo começou com disquetes
As origens do ransomware geralmente remontam ao vírus AIDS ou PC Cyborg Trojan na década de 1980. Neste caso, as vítimas que inserissem uma disquete no seu computador encontrariam os seus ficheiros posteriormente encriptados e um pagamento solicitado. Os discos foram distribuídos aos participantes e pessoas interessadas em conferências específicas, que então tentariam acessar o disco para completar uma pesquisa - em vez disso, seriam infectados pelo trojan. Os arquivos nos computadores afetados foram criptografados usando uma chave armazenada localmente em cada máquina de destino. A vítima poderia, em princípio, ter restaurado o acesso aos seus arquivos usando esta chave. A vítima, porém, pode não saber que poderia fazer isso, pois mesmo agora o conhecimento técnico de criptografia não é comum entre a maioria dos usuários de PC.
Eventualmente, as autoridades policiais rastrearam os disquetes até um biólogo evolucionista formado em Harvard chamado Joseph Popp, que estava conduzindo pesquisas sobre a AIDS na época. Ele foi preso e acusado de várias acusações de chantagem e foi considerado por alguns como o inventor do ransomware. Ninguém sabe exatamente o que levou Popp a fazer o que fez.
A mensagem na tela após a ativação do ransomware AIDS Trojan Horse. Wikipédia
Muitas versões anteriores de ransomware eram sistemas criptográficos bastante básicos que sofriam de vários problemas relacionados à facilidade de encontrar as principais informações que o criminoso estava tentando esconder da vítima. Esta é uma das razões pelas quais o ransomware realmente atingiu a maioridade com o ataque CryptoLocker em 2013 e 2014.
O CryptoLocker foi o primeiro vírus de ataque de ransomware tecnicamente sólido a ser distribuído em massa. Milhares de vítimas viram seus arquivos criptografados por ransomware que não puderam ser submetidos a engenharia reversa. As chaves privadas, usadas na criptografia, estavam em poder do invasor e as vítimas não conseguiam restaurar o acesso aos seus arquivos sem elas. Foram exigidos resgates de cerca de US$ 300-600 e estima-se que os criminosos tenham escapado com cerca de US$ 3 milhões. O Cryptolocker acabou sendo encerrado em 2014, após uma operação envolvendo várias agências internacionais de aplicação da lei.
O CryptoLocker foi fundamental para mostrar a prova de conceito de que os criminosos poderiam ganhar grandes quantias de dinheiro com ransomware. Posteriormente, houve uma explosão de novas variantes e novos tipos. Houve também evolução significativa nas estratégias utilizadas pelos criminosos.
Extorsão imediata e dupla
Um desenvolvimento importante foi o surgimento do ransomware como serviço. Este é um termo para os mercados na dark web através dos quais os criminosos podem obter e usar ransomware “pronto para uso” sem a necessidade de conhecimentos avançados de computação, enquanto os fornecedores de ransomware recebem uma parte dos lucros.
A investigação mostrou como a dark web é o “Oeste Selvagem não regulamentado da Internet” e um porto seguro para os criminosos comunicarem e trocarem bens e serviços ilegais. É facilmente acessível e com a ajuda da tecnologia de anonimato e das moedas digitais, existe uma economia paralela global a prosperar ali. Cerca de mil milhões de dólares foram gastos ali apenas durante os primeiros nove meses de 2019, de acordo com a Agência da União Europeia para a Aplicação da Lei.
Com o ransomware como serviço (Raas), a barreira de entrada para aspirantes a criminosos cibernéticos, em termos de custo e habilidade, foi reduzida.
No modelo Raas, a experiência é fornecida pelos fornecedores que desenvolvem o malware, enquanto os próprios invasores podem ser relativamente pouco qualificados. Isto também tem o efeito de compartimentar o risco – a detenção de criminosos cibernéticos que utilizam ransomware já não ameaça toda a cadeia de abastecimento, permitindo a continuação dos ataques lançados por outros grupos.
Também assistimos a um afastamento dos ataques de phishing em massa, como o CryptoLocker, que atingiu mais de 250.000 sistemas, para ataques mais direcionados. Isso significou um foco crescente em organizações com receitas para pagar grandes resgates. Organizações multinacionais, escritórios de advocacia, escolas, universidades, hospitais e prestadores de cuidados de saúde tornaram-se alvos principais, bem como muitas pequenas e microempresas e instituições de caridade.
Um desenvolvimento mais recente em ransomware, como Netwalker, REvil/Sodinokibi, tem sido a ameaça de dupla extorsão. É aqui que os criminosos não apenas criptografam os arquivos, mas também exfiltram os dados, copiando-os. Eles então têm o potencial de vazar ou publicar informações potencialmente confidenciais e importantes.
Um exemplo disso ocorreu em 2020, quando uma das maiores empresas de software, a Software AG, foi atingida por um ransomware de dupla extorsão chamado Clop. Foi relatado que os invasores solicitaram um pagamento de resgate excepcionalmente alto de US$ 20 milhões (cerca de £ 15,7 milhões), que a Software AG se recusou a pagar. Isso fez com que os invasores divulgassem dados confidenciais da empresa na dark web. Isso fornece aos criminosos duas fontes de vantagem:eles podem pedir resgate pela chave privada para descriptografar arquivos e podem pedir resgate para impedir a publicação de dados confidenciais.
A dupla extorsão muda o modelo de negócios do ransomware de maneiras interessantes. Em particular, com o ransomware padrão, existe um incentivo relativamente simples para uma vítima pagar um resgate pelo acesso à chave privada, se isso permitir a desencriptação dos ficheiros, e não pode aceder aos ficheiros através de quaisquer outros meios. A vítima “apenas” precisa confiar que o criminoso cibernético lhe dará a chave e que a chave funcionará.
‘Honra’ entre ladrões?
Mas com a exfiltração de dados, por outro lado, não é óbvio o que a vítima recebe em troca do pagamento do resgate. Os criminosos ainda possuem os dados confidenciais e ainda podem publicá-los quando quiserem. Eles poderiam, de fato, pedir resgates subsequentes para não publicar os arquivos.
Portanto, para que a exfiltração de dados seja uma estratégia de negócios viável, os criminosos precisam construir uma reputação confiável de “honrar” os pagamentos de resgate. Isso provavelmente levou a um ecossistema de ransomware normalizado.
Por exemplo, os negociadores de resgates são prestadores de serviços privados e, em alguns casos, são obrigados, como parte de um acordo de seguro cibernético, a fornecer conhecimentos especializados na gestão de situações de crise envolvendo ransomware. Quando instruídos, eles facilitarão pagamentos de resgate negociados. Dentro deste ecossistema, algumas gangues criminosas de ransomware desenvolveram uma reputação de não publicar dados (ou pelo menos atrasar a publicação) se um resgate for pago.
De forma mais geral, a encriptação, desencriptação ou exfiltração de ficheiros é normalmente uma tarefa difícil e dispendiosa para os criminosos. É muito mais simples excluir os arquivos e alegar que foram criptografados ou exfiltrados e exigir um resgate. No entanto, se as vítimas suspeitarem que não receberão a chave de descriptografia ou os dados criptografados, não pagarão o resgate. E aqueles que pagam um resgate e não recebem nada em troca podem divulgar esse facto. É provável que isso afete a “reputação” do invasor e a probabilidade de futuros pagamentos de resgate. Simplificando, vale a pena jogar “de forma justa” no mundo dos ataques de extorsão e resgate.
Assim, em menos de dez anos, vimos a ameaça do ransomware evoluir enormemente, do CryptoLocker, de escala relativamente baixa, para um negócio multimilionário envolvendo gangues criminosas organizadas e estratégias sofisticadas. De 2020 em diante, os incidentes de ransomware e as consequentes perdas aparentemente aumentaram em outra ordem de grandeza. O ransomware tornou-se demasiado grande para ser ignorado e é agora uma grande preocupação para os governos e as autoridades.
Ameaças de extorsão de criptografia
Por mais devastador que o ransomware tenha se tornado, a ameaça inevitavelmente evoluirá ainda mais, à medida que os criminosos desenvolverem novas técnicas de extorsão. Como já foi mencionado, um tema-chave na nossa investigação colectiva ao longo dos últimos dez anos tem sido tentar antecipar as prováveis estratégias que os criminosos podem empregar para estarem à frente do jogo.
Nossa pesquisa agora está focada na próxima geração de ransomware, que acreditamos incluirá variantes focadas em criptomoedas e nos “mecanismos de consenso” usados dentro delas.
Um mecanismo de consenso é qualquer método (geralmente algorítmico) usado para alcançar acordo, confiança e segurança em uma rede de computadores descentralizada.
O próximo alvo poderia ser a criptografia. Shutterstock/domingo de manhã
Especificamente, as criptomoedas utilizam cada vez mais o chamado mecanismo de consenso de “prova de participação”, no qual os investidores apostam somas significativas de moeda, para validar transações criptográficas. Essas apostas são vulneráveis à extorsão por criminosos de ransomware.
As criptomoedas dependem de um blockchain descentralizado que fornece um registro transparente de todas as transações que ocorreram com essa moeda. A blockchain é mantida por uma rede peer-to-peer em vez de uma autoridade central (como acontece com a moeda convencional). Em princípio, os registos de transações incluídos na blockchain são imutáveis, verificáveis e distribuídos de forma segura pela rede, dando aos utilizadores total propriedade e visibilidade dos dados da transação. Essas propriedades do blockchain dependem de um “mecanismo de consenso” seguro e não manipulável, no qual os nós independentes da rede “aprovam” ou “concordam” quais transações adicionar ao blockchain.
Até agora, criptomoedas como o Bitcoin dependiam de um mecanismo de consenso denominado “prova de trabalho”, no qual a autorização de transações envolve a resolução de problemas matemáticos complexos (o trabalho). A longo prazo, esta abordagem é insustentável porque resulta na duplicação de esforços e na utilização evitável de energia em grande escala.
A alternativa, que agora se está a tornar realidade, é um mecanismo de consenso de “prova de participação”. Aqui, as transações são aprovadas por validadores que apostaram dinheiro e são recompensados financeiramente pela validação das transações. O papel do trabalho ineficiente é substituído por uma participação financeira. Embora isto resolva o problema energético, significa que grandes quantidades de dinheiro apostado são envolvidas na validação de transações criptográficas.
Etéreo
A existência deste dinheiro apostado representa uma nova ameaça para algumas criptomoedas de prova de aposta. Concentramos nossa atenção no Ethereum, uma criptomoeda descentralizada que estabelece uma rede peer-to-peer para executar e verificar com segurança o código do aplicativo, conhecido como contrato inteligente.
Ethereum é alimentado pelo token Ether (ETH) que permite aos usuários fazer transações entre si por meio desses contratos inteligentes. O projeto Ethereum foi cofundado por Vitalik Buterin em 2013 para superar as deficiências do Bitcoin. Em 15 de setembro de 2022, The Merge mudou a rede Ethereum de prova de trabalho para prova de aposta, tornando-a uma das primeiras criptomoedas de prova de aposta proeminentes.
O mecanismo de consenso de prova de participação no Ethereum depende de “validadores” para aprovar transações. Para configurar um validador é necessário haver uma aposta mínima de 32ETH, que atualmente gira em torno de US$ 60.000 (cerca de £ 43.000). Os validadores podem então obter um retorno financeiro sobre sua participação operando um validador de acordo com as regras do Ethereum. No momento em que este artigo foi escrito, havia cerca de 850.000 validadores.
Muita esperança está depositada na solução de validação de “aposta” – mas os hackers certamente estarão investigando como podem se infiltrar no sistema.
Em nosso projeto, que foi financiado pela Fundação Ethereum, identificamos maneiras pelas quais grupos de ransomware poderiam explorar o novo mecanismo de prova de participação para extorsão.
Cortar
Descobrimos que os invasores poderiam explorar validadores por meio de um processo chamado “slashing”. Embora os validadores recebam recompensas por obedecer às regras, existem penalidades financeiras para os validadores que agirem de forma maliciosa. O objetivo básico das penalidades é impedir a exploração da blockchain descentralizada.
Existem duas formas de penalidades, a mais severa delas é a redução. O corte ocorre para ações que não deveriam acontecer por acidente e podem comprometer o blockchain, como propor a adição de blocos conflitantes ao blockchain ou tentar alterar o histórico.
As penalidades de redução são relativamente severas, com o validador perdendo uma parte significativa de sua participação, pelo menos 1ETH. Na verdade, no caso mais extremo, o validador poderá perder toda a sua aposta (32ETH). O validador também será forçado a sair e não atuará mais como validador. Em suma, se um validador for cortado, haverá grandes consequências financeiras.
Para realizar ações, os validadores recebem chaves de assinatura exclusivas, que, em essência, comprovam quem eles são para a rede. Suponha que um criminoso tenha conseguido a chave de assinatura? Então, eles poderiam chantagear a vítima para que pagasse um resgate.
Diagrama de fluxo mostrando o quão complicado fica quando há um ataque de extorsão contra validadores de prova de aposta, como o Ethereum
Alpesh Bhudia, CC BY-ND
Um ‘contrato inteligente’
A vítima pode relutar em pagar o resgate, a menos que haja uma garantia de que os criminosos não pegarão o seu dinheiro e não devolverão/liberarão a chave. Afinal, o que impedirá os criminosos de pedirem outro resgate?
Uma solução que encontrámos – que remonta ao facto de que o ransomware se tornou, de facto, um tipo de negócio operado por criminosos que querem provar que têm uma reputação “honesta” – é um contrato inteligente.
Este contrato automatizado pode ser redigido de forma que o processo só funcione se ambos os lados “honrarem” sua parte do acordo. Assim, a vítima poderia pagar o resgate e ter certeza de que isso resolveria a ameaça direta de extorsão. Isto é possível através do Ethereum porque todas as etapas necessárias são publicamente observáveis na blockchain – o depósito, o sinal para sair, a ausência de corte e o retorno da aposta.
Funcionalmente, estes contratos inteligentes são um sistema de garantia no qual o dinheiro pode ser retido até que as condições pré-acordadas sejam cumpridas. Por exemplo, se os criminosos forçarem o corte antes que o validador tenha saído totalmente, o contrato garantirá que o valor do resgate seja devolvido à vítima. Esses contratos estão, no entanto, sujeitos a abusos e não há garantia de que um contrato de autoria do invasor seja confiável. Existe potencial para que o contrato seja automatizado de forma totalmente confiável, mas ainda não observamos tal comportamento e os sistemas emergem.
A ameaça dos pools de staking
Este tipo de estratégia de “pagar e sair” é uma forma eficaz de os criminosos extorquirem as vítimas se conseguirem obter as chaves de assinatura do validador.
Então, quanto dano um ataque de ransomware como esse causaria ao Ethereum? Se um único validador for comprometido, a penalidade de redução – e, portanto, a demanda máxima de resgate – seria na região de 1ETH, o que equivale a cerca de US$ 1.800 (cerca de £ 1.400). Para alavancar maiores quantias de dinheiro, os criminosos precisam, portanto, visar organizações ou grupos de staking responsáveis pela gestão de um grande número de validadores.
Lembre-se de que, dados os altos custos de entrada para investidores individuais, a maior parte da validação no Ethereum será executada em “pools de apostas”, nas quais vários investidores podem apostar dinheiro coletivamente.
Para colocar isso em perspectiva, o Lido é o maior pool de staking do Ethereum, com cerca de 127.000 validadores e 18% da participação total; A Coinbase é a segunda maior, com 40 mil validadores e 6% da participação total. No total, existem 21 pools de staking operando mais de 1.000 validadores. Qualquer um desses pools de apostas é responsável por dezenas de milhões de dólares em apostas e, portanto, exigências viáveis de resgate também podem chegar a milhões de dólares.
Os mecanismos de consenso de prova de aposta são demasiado recentes para sabermos se a extorsão de pools de apostas se tornará uma realidade ativa. Mas a lição geral da evolução do ransomware é que os criminosos tendem a gravitar em torno de estratégias que incentivam o pagamento e aumentam os seus ganhos ilícitos.
A maneira mais direta pela qual os investidores e operadores de pools de staking podem mitigar a ameaça de extorsão que identificamos é protegendo suas chaves de assinatura. Se os criminosos não conseguirem acessar as chaves de assinatura, não haverá ameaça. Se os criminosos só puderem acessar algumas das chaves (para operadores com vários validadores), a ameaça poderá não ser lucrativa.
Portanto, os pools de piquetagem precisam tomar medidas para proteger as chaves de assinatura. Isto envolveria uma série de ações, incluindo:particionar validadores para que uma violação afete apenas um pequeno subconjunto; intensificar a segurança cibernética para evitar intrusões e processos internos robustos para limitar a ameaça interna de um funcionário divulgar chaves de assinatura.
O que acontece quando os hackers obtêm acesso a chaves secretas? Shutterstock/Andrii Yalanskyi
O mercado de staking pool para criptomoedas como Ethereum é competitivo. Existem muitos pools de apostas, todos oferecendo serviços relativamente semelhantes e competindo em preços para atrair investidores. Estas forças competitivas e a necessidade de cortar custos podem levar a medidas de segurança relativamente frouxas. Alguns pools de apostas podem, portanto, revelar-se um alvo relativamente fácil para os criminosos.
Em última análise, isto só pode ser resolvido com regulamentação, maior consciencialização e que os investidores em pools de apostas exijam elevados níveis de segurança para proteger a sua participação.
Infelizmente, a história do ransomware sugere que ataques de alto perfil precisarão ser vistos antes que a ameaça seja levada a sério. É interessante contemplar as consequências de uma violação significativa de um pool de apostas. A reputação do pool de apostas seria provavelmente gravemente afetada e, portanto, a viabilidade do pool de apostas num mercado competitivo é questionável. Um ataque também pode ter implicações na reputação da moeda.
Na pior das hipóteses, poderá levar ao colapso da moeda. Quando isso acontece – como aconteceu com a FTX em 2022, após outro ataque de hackers, há repercussões na economia global.
Veio para ficar
O ransomware será um desafio durante anos, senão décadas.
Uma visão potencial do futuro é que o ransomware se torne parte da vida económica normal, com as organizações a enfrentarem a ameaça constante de ataques, com poucas consequências para os grupos, em grande parte anónimos, de criminosos cibernéticos por detrás das fraudes.
Para evitar tais consequências negativas, precisamos de uma maior consciência da ameaça. Assim, os investidores podem tomar decisões mais informadas sobre quais os pools de staking e as moedas em que investir. Também faz sentido ter um mercado com muitos pools de staking, em vez de um mercado dominado por apenas alguns grandes, pois isso poderia isolar a moeda de possíveis ataques.
Além da criptografia, a preempção envolve investimento em segurança cibernética de diversas formas – desde treinamento de pessoal e uma cultura organizacional que apoia o relato de incidentes. Envolve também o investimento em opções de recuperação, tais como apoios eficazes, conhecimentos especializados internos, seguros e planos de contingência testados e comprovados.
Infelizmente, as práticas de segurança cibernética não estão a melhorar como se poderia esperar em muitas organizações e isto está a deixar a porta aberta para os criminosos cibernéticos. Essencialmente, todos precisam melhorar a ocultação e proteção de suas chaves digitais e informações confidenciais, se quisermos ter uma chance contra a próxima geração de invasores de ransomware.
Para você:mais informações da nossa série Insights:
-
O derretimento do Ártico é uma cena de crime. Os micróbios que estudo há muito nos alertam sobre esta catástrofe – mas também a estão provocando
-
Os famosos contos de Beatrix Potter estão enraizados em histórias contadas por africanos escravizados – mas ela não falou muito sobre suas origens
-
Invisible Windrush:como as histórias de trabalhadores contratados indianos do Caribe foram esquecidas
Para ouvir sobre os novos artigos do Insights, junte-se às centenas de milhares de pessoas que valorizam as notícias baseadas em evidências do The Conversation. Assine nossa newsletter .
-
Guia do comprador:como negociar o preço da casa
p Quando você compra uma casa, o vendedor de quem você está comprando provavelmente espera que você negocie o preço pedido. Na verdade, a maioria dos vendedores tem o preço de sua casa um pouco mais a
-
Como saber se você se qualifica para um empréstimo de título de carro
O que exatamente são os empréstimos do título do carro? É um empréstimo de curto prazo em que o carro do mutuário é mantido como garantia contra a dívida. Pessoas que recorrem a alguns empréstimos de
Artigos em Destaque
- Por que pedir dinheiro emprestado para comprar criptografia é uma ideia realmente ruim
- Tão volátil! Por que o mercado de criptomoedas trava durante os fins de semana?
- O que é a plataforma Blockchain de Solana (SOL)?
- Principais criptomoedas subvalorizadas para comprar neste mês de outubro com bons retornos
- A criptografia foi para os cães? Por que Floki Inu, Shiba Inu, e Dogecoin são ruins para criptografia
- EUA vinculam US$ 5,2 bilhões em transações de Bitcoin a ransomware
- Bitcoin Cash Explicado
- Bitcoin (BTC) atinge o pico de abril e sobe acima de US $ 8,
-
Como começar um blog sem saber codificar Um guia de mais de 3.000 palavras que contém tudo o que aprendi sobre como começar um blog. Você pode criar seu próprio blog em 10 etapas simples. Última atualização:19 de março, 2020 Quando co...
-
Investir 101:Noções básicas de investimento para iniciantes Suspeitamos que você já sabe o que é investir, mas apenas no caso, vamos definir os termos de investimento. Então, vamos lhe dizer como fazer isso. O que está investindo? Investir envolve comprome...