Sequestro ou destruição total? Entenda a diferença entre ransomware e wiper
Por Jaqueline Sousa • Editado por Jones Oliveira |
Ataques de ransomware são práticas bastante comuns e agressivas no universo do cibercrime, com o Brasil sendo um dos locais mais afetados por campanhas maliciosas para sequestro de dados. Mas, enquanto o ransomware permanece nos limites da chantagem para o resgate em dinheiro, existe um modelo de ataque ainda mais brutal que pode destruir completamente os arquivos da vítima: o wiper.
Um caso recente envolvendo ações do grupo hacker Nitrogen pode ajudar a elucidar a linha tênue entre os dois tipos de ataque. O incidente em questão consistiu em um bug no código de programação da variante VMware ESXi, que ataca hipervisores e encripta máquinas virtuais. O erro provocou a perda total das chaves de encriptação acidentalmente, fazendo com que os dados sequestrados das vítimas se tornassem irrecuperáveis.
Isso significa que, mesmo que o alvo tenha transferido o valor do resgate para recuperar seus arquivos pessoais roubados pelo grupo de ransomware, com o bug, os dados já teriam sido totalmente destruídos. A mesma ideia se aplica em incidentes orquestrados intencionalmente para apagar completamente os materiais da vítima graças à implementação de táticas de wiper.
Mas qual é exatamente a diferença entre ter seus dados sequestrados ou mortos? Apesar do resultado de ambos ocasionar a perda de dados, a motivação por trás do ataque não é similar.
O ransomware: o "sequestrador digital"
Mais popular que o wiper, o ransomware funciona como um sequestro virtual. Basicamente, o criminoso usa um software malicioso para criptografar o refém, ou seja, os dados pessoais da vítima, exigindo um pagamento para libertá-los.
A mecânica por trás do ataque é gerar uma chave privada que fica sob domínio do hacker, enquanto ele organiza uma série de chantagens para que o alvo pague uma determinada quantia em dinheiro. Afinal, o objetivo do sequestro é sempre obter lucro financeiro, com a operação funcionando como um negócio.
A questão do ataque de ransomware é que ele precisa passar uma imagem de “confiança”, mostrando-se reversível para que o usuário acredite que, ao transferir o dinheiro solicitado, seus dados serão recuperados. Caso contrário, perde-se esse fator, já que o ato de não devolver os materiais roubados após o pagamento do resgate pode prejudicar o esquema criminoso, como ocorreu com o Nitrogen e o bug de programação.
Alguns grupos famosos de ransomware são o WannaCry, REvil, LockBit, que agem de maneira criminosa para sequestrar dados para exigir pagamentos milionários como resgate.
O wiper: o "assassino de dados"
Mais agressivo e irreversível, o wiper é como um incêndio criminoso que queima uma casa inteira até sobrar apenas as cinzas. Logo, enquanto o ransomware “apenas” rouba os móveis da residência, o wiper vem para destruir tudo que vê pela frente com labaredas de fogo.
Diferente do ransomware, o wiper é mais usado em contextos de sabotagem e ciberguerra, sendo usado por nações rivais para comprometer infraestruturas críticas, como bancos e governos. A tática também é usada por hackers que querem apagar completamente os rastros de algum crime digital.
Isso é possível devido à maneira como o wiper sobrescreve o arquivo roubado ao invés de mantê-lo como refém, gravando “zeros” ou dados de lixo por cima de setores do HD. O wiper pode ainda corromper a Tabela de Arquivos Mestre (Master File Table/MFT), que opera como um banco de dados que registra todos os arquivos em uma unidade de disco. Dessa forma, ele aciona uma destruição total dos dados sem a chance de existir um resgate ou reverter o dano.
Um exemplo atual, para além do erro do grupo hacker Nitrogen, ocorreu na Guerra da Ucrânia com o HermeticWiper. Identificado em 2022, o malware destrutivo foi projetado pela Rússia para inutilizar computadores com Windows, sendo amplamente usado em ataques a organizações governamentais e serviços de infraestrutura ucranianos momentos antes da invasão.
A zona cinzenta
Um ponto que precisa ser levado em consideração é que muitos wipers se disfarçam de ransomware como estratégia de ataque, enquanto outros podem destruir dados completamente por pura incompetência, como ocorreu com o caso do Nitrogen, cuja ferramenta de extorsão se transformou em uma arma de destruição de modo acidental por causa do bug.
O lado intencional da coisa, porém, demonstra uma expertise sofisticada por parte de criminosos que querem instaurar o caos ou sabotar alguma infraestrutura crítica com base em um propósito político, por exemplo. Aqui, o caso do NotPetya é um bom exemplo.
Considerado um dos ataques mais destrutivos da história, o NotPetya foi um wiper projetado por hackers russos para impactar a economia da Ucrânia, em 2017. A princípio, o ataque parecia vir de um grupo de ransomware em busca de dinheiro fácil, mas logo revelou ser um wiper perigoso cuja tela de pagamento era apenas uma distração para que os criminosos conseguissem apagar totalmente os dados de grandes empresas, paralisando suas infraestruturas.
Agora que você entendeu as principais diferenças entre ransomware e wiper, veja a tabela comparativa a seguir para fixar bem as definições:
| Ransomware vs Wiper | ||
| Característica | Ransomware | Wiper |
| Objetivo principal | Dinheiro/Extorsão | Destruição/Sabotagem |
| Recuperação | Possível (caso pague ou tenha a chave) | Impossível (dados sobrescritos) |
| Motivação | Crime financeiro | Guerra cibernética ou hacktivismo |
| Mecânica | Criptografia reversível | Sobrescrita de disco/Corrupção |
| Mensagem na tela | “Pague para liberar” | Pode simular resgate ou tela azul |
Como se proteger
Seja um ataque de ransomware ou um wiper, é importante ter em mente que, independentemente do modus operandi, em ambos os casos são os seus dados que estão em jogo. Enquanto um pode ser reversível, o outro não oferece meios de recuperação, provocando estragos destrutivos que poderiam ter sido evitados, caso a vítima soubesse como se proteger.
Portanto, vale estar atento para medidas preventivas, como apostar em um backup offline dos seus dados para mantê-los em segurança. Assim, mesmo que o seu HD seja sequestrado, você pode restaurar a cópia segura, indo além da proteção de antivírus e firewalls que, embora sejam úteis, podem falhar em momentos críticos.
Leia também: