Proteção Essencial

Ransomware como você (não) conhece. Quais são as tendências em 2023?

7 minutos lidos

O ransomware sempre existiu e está em constante evolução. No entanto, ataques massivos de ransomware têm aparecido com menos frequência do que nos anos anteriores, à medida que os atacantes mudam para ataques direcionados. Ondrej Kubovic, especialista em conscientização de segurança da ESET, apresenta esse insight em detalhes.

Mais direcionado

No passado, grandes campanhas como o WannaCry acabavam nas caixas de correio das pessoas. Agora, esses ataques ocorrem apenas excepcionalmente. “Nossa telemetria mostra que o número de campanhas de e-mail massivamente espalhadas que distribuem ransomware tem diminuído”, explica Kubovic.

Infographic showing the graph that displays the number of Ransomware email attacks detected by ESET

Há também outras notícias positivas: cada vez mais criadores e operadores de ransomware estão sendo rastreados e punidos. Em 2021, Darkside criptografou os dados do Colonial Pipeline, fazendo com que a administração da Casa Branca e as agências policiais dos EUA se concentrassem mais nesta questão e aumentassem a cooperação internacional para combater o ransomware.

Como explica Ondrej Kubovic, “as agências internacionais de aplicação da lei encontraram maneiras de rastrear os cibercriminosos e suas atividades, de se infiltrar e, muitas vezes, quebrar sua infraestrutura e, em alguns casos, até mesmo de prender afiliados e membros principais de gangues de ransomware, limitando assim o número de ataques”. . Em alguns casos, as autoridades obtiveram as chaves de encriptação que permitiram às vítimas desencriptar os seus dados.”

Cada vez mais membros de gangues do crime cibernético estão sendo acusados. Informações valiosas sobre as operações de tais grupos foram por vezes vazadas, geralmente por infiltrados ou sabotadores internos, como nos casos de Conti e Yanluowang. Isto apoia a noção crescente de que o crime digital organizado já não é inviolável. “Os dados vazados mostraram que tais grupos funcionam de forma semelhante a empresas normais, contando com departamentos de alta e média gerência, desenvolvimento, testes e suporte, e até mesmo departamentos de RH”, aponta Ondrej Kubovic.

Como a polícia invadiu os hackers

 

No início de 2023, o Departamento de Justiça dos EUA interrompeu o grupo de ransomware Hive. Durante vários meses, a polícia analisou os sistemas e o funcionamento do grupo, recolhendo chaves de desencriptação que foram posteriormente distribuídas a cerca de 1300 vítimas. De acordo com estimativas do Departamento de Justiça dos EUA, foram evitados danos no valor de aproximadamente 130 mil milhões de dólares – foi o que o grupo Hive exigiu das vítimas. “Mesmo que todas as vítimas não possam ser ajudadas, o número de perpetradores punidos e os casos de recuperação de dados têm aumentado”, diz Ondrej Kubovic.

O ransomware não deve ser subestimado. Os invasores mudaram mais para ataques direcionados. Eles escolhem uma vítima, por exemplo, uma pequena empresa, de acordo com os resultados económicos projetados – um lucro mais elevado significa que a empresa poderá ter maior probabilidade de pagar o resgate. “Muitas vezes, os cibercriminosos escolhem um setor interessante ou crítico. Nessas áreas, é crucial restaurar as operações comerciais o mais rápido possível se elas forem interrompidas – e em alguns casos, a solução mais rápida é pagar o que o invasor exige – mesmo que o pagamento não possa ser recomendado, pois não há garantia de que você recuperaremos seus dados”, acrescenta Kubovic.

Como os invasores escolhem suas vítimas?

 

Os cibercriminosos ficam atentos a novas vulnerabilidades que são relatadas publicamente para analisá-las. Posteriormente, eles examinam a Internet em busca de sistemas vulneráveis e tentam identificar as empresas que os administram. A partir deste conjunto, selecionam metas com base na combinação mais interessante de prováveis ganhos económicos e acesso a dados potencialmente valiosos ou críticos para os negócios. As violações, roubo de dados, criptografia e extorsão das redes selecionadas normalmente ocorrem em seguida.

 

Se as gangues de ransomware comprometerem pequenas empresas que fazem parte de uma cadeia de fornecimento interessante, isso poderá ser aproveitado para obter acesso a outros negócios e sistemas. Por exemplo, ao infestar um provedor de serviços da Web, os cibercriminosos podem conseguir chegar aos clientes e aos seus sites. “Provedores de segurança gerenciados (MSPs) também são alvos comuns – eles têm amplo acesso e permissões nos sistemas de seus clientes. Se o invasor comprometer um MSP, ele poderá comprometer dezenas, senão centenas, de seus clientes ao mesmo tempo. A má notícia é que os ataques às cadeias de abastecimento estão a aumentar”, afirma Kubovic.

Em um ataque, 1.500 empresas afetadas

 

Em 2021, a empresa de tecnologia empresarial Kaseya sofreu uma violação que teve como alvo seu software de gerenciamento remoto de dispositivos. Os invasores o usaram para espalhar ransomware. Cerca de 60 de seus clientes e 1.500 empresas downstream foram impactadas. “Parece que os invasores realizaram um ataque de ransomware na cadeia de suprimentos, aproveitando uma vulnerabilidade no software VSA da Kaseya contra vários provedores de serviços gerenciados (MSP) – e seus clientes”, disse ZDNet. Eventualmente, Kaseya obteve as chaves de descriptografia de uma fonte confiável, que mais tarde se revelou ser o FBI, que se infiltrou nos sistemas do grupo REvil.

 

Procurando por mais exemplos sobre ataques à cadeia de suprimentos? Familiarize-se com 3CX, SolarWinds e NotPetya. Há muito o que aprender com eles.

Então, quais são as principais conclusões para o seu negócio? Lembre-se de que empresas com cadeias de fornecimento atraentes, como MSPs, são alvos populares de ataques de ransomware. Além disso, como os ataques se tornaram mais direcionados, garanta que seu software e sistemas operacionais sejam corrigidos o mais rápido possível, use uma solução de segurança multicamadas para detectar e bloquear um ataque e treine seus funcionários para identificar a engenharia social. Além disso, não se esqueça de fazer backup de seus dados e de ter uma estratégia de recuperação de desastres em vigor. Aprenda e proteja sua empresa de forma eficaz. Mesmo pequenos passos são importantes.