Hoje 80% dos ataques de ransomware podem ser atribuídos a erros de configuração comuns em software e dispositivos. Essa facilidade de acesso é uma das razões de a economia clandestina do ransomware ter crescido tanto. É um sistema de gangues, em que muitos invasores trabalham dentro ecossistemas, com funções especializadas, em que o ransomware como serviço (RaaS) se tornou o modelo de negócios dominante. O modelo permitiu que mais criminosos entrassem para o esquema, independentemente de sua experiência técnica.
Nosso time de threat intel rastreou ataques de ransomware e identificou padrões na atividade cibercriminosa. Neste artigo, trazemos os principais insights.
Tripla extorsão de ransomware
As primeiras ameaças de ransomware, no passado, eram diretas: os atacantes ameaçavam as vítimas com criptografia e exfiltração de arquivos. Com o tempo, a chantagem escalou. Os criminosos começaram a fazer ameaças de que, sem o resgate, vazariam ou venderiam os dados na dark web ou na internet pública. O que ficou conhecido como “dupla extorsão”. Em um próximo passo, evoluíram para uma tripla extorsão, que inclui:
- Criptografia de dados e exfiltração;
- Ameaça de vazamento ou venda de dados;
- Ataques direcionados a parceiros das vítimas ou outras táticas de pressão.
Um ataque de extorsão tripla representa um novo nível de ameaça. O cibercriminoso pode adotar várias abordagens para aumentar a pressão sobre a vítima. Eles podem exigir resgate dos clientes ou fornecedores da vítima, incluindo ameaças de vazamento de dados, lançando um ataque DDoS ou até mesmo fazendo chamadas telefônicas intimidadoras.
O que isso significa para as empresas?
Quando as empresas sofrem uma violação, vários cibercriminosos estão envolvidos em diferentes estágios da invasão.
O que pensamos como gangues de ransomware são, na verdade, programas RaaS como Conti ou REvil, usados por criminosos diferentes. O que quer dizer que o RaaS dilui a identidade dos atacantes por trás do resgate e torna o crime acessível. Alguns programas podem ter 50 ou mais “afiliados”, com ferramentas, funções e objetivos distintos. Qualquer pessoa com um laptop e cartão de crédito que esteja disposta a pesquisar na Dark Web pode se juntar a essa economia clandestina. As marcas de RaaS podem ter sites, boletins mensais, anúncios de novos recursos e personalizações. Elas têm até seus próprios tutoriais em vídeo, white papers e contas do Twitter.
Alguns pacotes estão até disponíveis gratuitamente, o que torna as coisas ainda mais imprevisíveis. Em outubro, o ransomware Cryptonite surgiu como uma ameaça aos sistemas Microsoft Windows. Os atores de ameaças escreveram o malware em Python e o distribuíram como parte de um kit de ferramentas de código aberto acessível. Como resultado, qualquer pessoa poderia pegar e usar o Cryptonite gratuitamente.
Os ataques de ransomware são personalizados com base nas configurações da rede de destino. Por exemplo, um malware pode roubar senhas e cookies e ser considerado como um ataque menos grave. Porém, os cibercriminosos podem vender essas senhas para permitir outros ataques mais devastadores. Com essa natureza interconectada da economia do cibercrime, intrusões aparentemente não relacionadas podem se acumular.
Entender esse contexto é fundamental para as empresas criem novas estratégias.
Pagar ou não pagar o resgate?
A resposta é não, independente da circunstância. Uma pesquisa da Sophos mostra que as organizações que pagaram resgate em 2021 recuperaram apenas 61% de seus dados, abaixo dos 65% em 2020. Da mesma forma, apenas 4% daqueles que pagaram, recuperaram todos os seus dados em 2021, abaixo dos 8% em 2020. O relatório da Sophos também mostra que 99% das organizações atingidas por ransomware em 2021 recuperaram alguns dados criptografados. Backups de dados são o método principal usado para restaurar dados, usado por 73% das organizações cujos dados foram criptografados. Enquanto isso, 46% relataram que pagaram o resgate para restaurar dados. As descobertas do estudo mostram que muitas organizações usam abordagens de restauração múltipla para maximizar a velocidade e eficácia na restauração de seus arquivos.
Respondendo à economia do ransomware
A orientação é se preparar para ataques. As empresas devem manter backups de dados críticos fora do local, testados regularmente. Além disso, o treinamento contínuo de segurança sobre como identificar tentativas de phishing deve fazer parte da estratégia de conscientização cibernética dos funcionários.
Em 2016, a Europol, a Polícia Nacional Holandesa (Politie) e empresas privadas de cibersegurança e TI lançaram o No More Ransom. Com o tempo, a iniciativa cresceu e agora oferece 136 ferramentas gratuitas de descriptografia para 165 variantes de ransomware, incluindo cepas notórias como GandCrab, REvil e Maze. O No More Ransom acumulou mais de 188 parceiros dos setores público e privado, aplicação da lei, acadêmico e outros setores. A iniciativa continua desenvolvendo novas ferramentas de descriptografia e, com seu portal disponível em 37 idiomas, continua a ajudar vítimas de ransomware em todo o mundo.
Mas, sabemos que a estratégia precisa ser proativa, não apenas reativa. Por isso, listamos algumas medidas cruciais para o negócio se proteger:
Higiene de credenciais
As empresas devem ter uma segmentação baseada em privilégios que podem ser implementada juntamente com a segmentação de rede para limitar o movimento lateral. A falha na implementação da higiene de credenciais é um dos maiores erros de configuração de segurança que observamos. Essa solução simples pode ser um fator determinante para impedir que criminosos cibernéticos se movam lateralmente e distribuam um ransomware em toda a empresa.
Exposição de credenciais de auditoria
Monitore a exposição de credenciais para prevenir ataques de ransomware e crimes cibernéticos em geral. As equipes de segurança de TI e os centros de operações de segurança (SOCs) podem trabalhar juntos para reduzir os privilégios administrativos e entender o nível em que as credenciais são expostas.
Redução da superfície de ataque
Estabeleça regras de redução da superfície de ataque para evitar técnicas de ataque comuns usadas em ransomware. Empresas com regras claramente definidas são capazes de mitigar ataques em estágios iniciais. Para isso, utilize soluções que ajudam a enxergar o negócio pela perspectiva do invasor. Teste a postura de segurança da organização, de forma real e controlada. Descubra, antes de um ataque, áreas de exposição. Com isso, as empresas terão menos probabilidade de serem vítimas de um ataque de ransomware.
Abordagem de pontos cegos de segurança
Assim como os alarmes de fumaça que protegem contra incêndios, os produtos de segurança devem ser instalados nos espaços corretos e testados com frequência. Verifique se as ferramentas de segurança estão operando em sua configuração mais segura e se nenhuma parte de uma rede está desprotegida. Proteja os ativos voltados para a Internet. Considere excluir aplicativos duplicados ou não utilizados para eliminar riscos. Esteja atento onde você permite aplicativos de helpdesk remotos, como o TeamViewer. Estes são notoriamente visados por criminosos para obter acesso rápido a notebooks.
Sistemas atualizados
Acompanhe o que você está executando e priorize o suporte para esses produtos. Use sua capacidade de corrigir de forma rápida e conclusiva para avaliar onde a transição para serviços baseados em nuvem é benéfica.
Converse com um especialista e entenda hoje qual é a melhor estratégia de cibersegurança para a sua empresa.
