Ransomware
proteção contra ransomware

Ransomware, a explosão cibernética de ameaças

Quando uma ameaça cibernética aumenta em magnitude 35 vezes em um ano e continua a crescer, todas as organizações devem prestar atenção.
Isso é exatamente o que aconteceu com o ransomware. Os cibercriminosos têm como alvo organizações de diversos segmentos da indústria, bem como empresas de praticamente todos os tamanhos.

Ransomware-as-a-Service (RaaS) e outras ferramentas semelhantes a kits reduziram a barreira de entrada para criminosos cibernéticos, permitindo que até mesmo invasores novatos tenham sucesso contra infraestruturas de segurança dispersas. E tecnologias monetárias como bitcoin tornam isso virtualmente impossível para as autoridades policiais rastrear os pagamentos de resgate. Com o crescimento exponencial do resgate pago a grupos de ransomware, a perspectiva de que isso vai continuar – e em um ritmo mais rápido – nos próximos anos é enorme. Reconhecendo a
ameaça crescente, os bancos estão estocando bitcoin para que seus clientes possam pagar rapidamente criminosos cibernéticos para desbloquear dados hackeados.

The Runaway Ransomware Threat

A análise dos dados globais do FortiGuard Labs mostrou um aumento substancial no total atividade de ransomware no segundo semestre de 2020, em comparação com o primeiro semestre. O FortiGuard Labs analisou a atividade para todas as assinaturas que classificou como ransomware, que mostrou um aumento de sete vezes na atividade de ransomware em dezembro em comparação com julho de 2020.

Entre as cepas mais ativas no segundo semestre de 2020 estavam Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos / EKING e BazarLoader. Cada um deles exibiu vários graus de prevalência, mas a tendência comum entre eles estava um aumento da atividade no período.

Os atores da ameaça descobriram que criptografar sistemas críticos e exigir um resgate pela chave de descriptografia é um maneira relativamente fácil de extorquir dinheiro de organizações, independentemente do tamanho ou do setor a que pertençam. Esta forma direcionada e sinistra de esquema de ransomware passou a ser conhecida como “big game hunting”.

Muitos adversários aproveitaram as interrupções causadas pela pandemia COVID-19 para aumentar os ataques de ransomware contra organizações do setor da saúde em particular. Em outubro, o CISA (Agência de Cibersegurança e Segurança de Infraestrutura dos EUA), o Departamento de Saúde e Serviços Humanos e o FBI emitiram uma advertência conjunta aos hospitais dos EUA e
serviços de saúde sobre o aumento da atividade de ransomware envolvendo malware TrickBot e BazarLoader. Outros setores que foram também fortemente visados ​​em ataques de ransomware no segundo semestre de 2020 incluíram empresas de serviços profissionais, empresas de serviços ao consumidor, organizações do setor público e empresas de serviços financeiros.

Múltiplas tendências caracterizaram a atividade de ransomware que o FortiGuard Labs e outros observaram na última metade de 2020. Uma dos mais preocupantes foi o aumento constante de ataques de ransomware que envolviam exfiltração de dados e a ameaça subsequente de divulgar os dados se o resgate não fosse pago. O uso de roubo de dados como alavanca adicional em campanhas de ransomware realmente apenas surgiu como uma tática adversária no início de 2020, mas tornou-se parte da maioria dos ataques no final do ano.

Os operadores da maioria das principais cepas de ransomware, incluindo Sodinokibi, Ryuk, Egregor e Conti, todos implantaram a exfiltração de dados como parte de suas operações padrão no ano passado. Alguns incidentes relatados foram alegações do invasor (às vezes falsas) de roubo de dados para tentar e assustar as vítimas para que paguem um resgate. Em muitos casos, quando as vítimas pagam para fazer com que os invasores excluam os dados roubados, os invasores renegaram e, em vez disso, vazou ou vendeu os dados para outros de qualquer maneira. Para as organizações, a tendência significa que backups de dados robustos sozinhos não são mais proteção suficiente contra demandas de ransomware

Como acontece o ransomware

Distribuição de Ransomware

Então, como o ransomware acontece? Vamos começar abordando como ele é distribuído. Qualquer meio digital pode ser usado: e-mail, anexos de site, aplicativos de negócios, mídia social e drivers USB, entre outros mecanismos de entrega digital. E-mail continua sendo o vetor de entrega número um, com os cibercriminosos preferindo usar primeiro os links e depois os anexos.

No caso de e-mail, os e-mails de phishing são enviados como notificações de entrega ou falsos solicitações de atualizações de software. Depois que um usuário clica no link ou anexo,
frequentemente (mas menos recentemente) um download transparente de outros itens maliciosos componentes que então criptografam arquivos com criptografia de chave privada RSA 2048 bits,
deixando quase impossível para o usuário descriptografar os arquivos. Em outros casos, ransomware é incorporado como um arquivo em um site, que quando baixado e instalado, ativa o ataque.

Tipos de ransomware

Os ataques de ransomware vêm em diferentes formas. No ano passado vimos uma evolução substancial em ataques. O ransomware tradicional vai depois dos dados, trancando arquivos até que o resgate seja pago. Mas, como mencionado acima, com o rápido crescimento dos dispositivos de Internet das Coisas (IoT), surgiu uma nova variedade de ransomware. Isto não vai atrás dos dados de uma organização, mas visa sistemas de controle (por exemplo, veículos, fabricação de linhas de montagem, sistemas de energia) e os desliga até o o resgate ser pago.
Vamos dar uma olhada rápida em alguns dos tipos mais comuns de ransomware que existe hoje:

  • Ransomware disponível no mercado. Alguns ransomware existem como software de prateleira que os cibercriminosos podem comprar nos mercados darknet e instalar em seus próprios servidores nefastos. A invasão e criptografia de dados e sistemas são gerenciados diretamente pelo software executado nos servidores do criminoso cibernético. Exemplos de ransomware de prateleira incluem Stampado e Cerber.
  • Ransomware-as-a-Service. O CryptoLocker é talvez o modelo RaaS mais conhecido. Desde que seus servidores foram desligados, O CTB-Locker surgiu como o método de ataque RaaS mais comum. Outro RaaS que está crescendo rapidamente é o Tox, um kit que os criminosos podem fazer o download. O resultado produz um arquivo executável dedicado que pode ser instalado ou distribuído pelo cyber criminoso, com 20% dos resgates brutos sendo pagos ao Tox em bitcoin.
  • Programas de afiliados de Ransomware. O modelo RaaS usa hackers afiliados com histórico comprovado para espalhar o malware.
  • Ataques em dispositivos IoT. O ransomware se infiltra em dispositivos IoT que controlam sistemas essenciais para uma empresa. Isso desliga aqueles sistemas até que um resgate seja pago para desbloqueá-los.

Curiosamente, além do código polimórfico, o ransomware costuma usar código metamórfico para alterar sua identidade digital enquanto operando da mesma maneira. Este rápido crescimento e evolução constante tornam ainda mais difícil para as organizações que dependem de soluções antivírus tradicionais baseadas em assinatura para acompanhar o ritmo. No momento em que uma cepa foi identificada e colocada na lista negra, o cyber os criminosos já mudaram para uma nova variação. As famílias de ransomware Ryuk e Sodinokibi, por exemplo, contribuíram para um aumento nos valores de resgate exigidos por invasores no primeiro trimestre de 2020.

Alvos de ransomware

Praticamente todos os sistemas operacionais são visados ​​hoje. Ataques também estender para a nuvem e dispositivos móveis. A nuvem foi deixada praticamente intocada por ransomware, portanto, é uma nova oportunidade de mercado para hackers.

Os cibercriminosos também visam quase todos os setores. Somente em 2020, CISA emitiu alertas sobre ransomware visando operações de pipeline, saúde, setor público, ensino fundamental e escolas de ensino médio e muito mais.

Outra estratégia recente de hacktivistas de ransomware é direcionar e comprometer servidores de negócios vulneráveis. O DearCry ransomware direcionado as novas vulnerabilidades descobertas no Microsoft Exchange no início de 2021 é um bom exemplo desta tática, bem como demonstrar a agilidade dos criminosos cibernéticos. Por ter como alvo servidores, os hackers podem identificar e alvejar hosts, multiplicando o número de potenciais servidores infectados e dispositivos em uma rede. Isso comprime o intervalo de tempo do ataque, tornando o ataque mais viral do que aqueles que começam com um usuário final. Esta evolução poderia se traduzir em vítimas pagando mais por chaves de descriptografia e um alongamento da hora de recuperar os dados criptografados.

Conclusão

O impacto financeiro do ransomware é muito maior do que apenas o resgate pago para criminosos cibernéticos. O tempo de inatividade se traduz em milhares, centenas de milhares, ou mesmo milhões de dólares em perda de receita e produtividade. Organizações em vários setores da indústria podem atestar essas implicações.

Abordagens graduais de segurança não são suficientes para impedir ataques de ransomware. Modelos integrados que permitem segurança em camadas usando firewalls de última geração (NGFW), segurança de endpoint moderna e mais são necessárias. Esses controles de segurança também devem usar inteligência proativa contra ameaças ao montar uma defesa contra ataques cibernéticos.

Compartilhe

Deixe um comentário

O seu endereço de e-mail não será publicado.