Grupos de ransomware se tornaram mais sofisticados e utilizam desde funcionalidades vazadas por outros criminosos até desatualização de sistemas
A Kaspersky publicou suas previsões de ransomware para o restante de 2023. Apenas em 2022, foram bloqueados mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação ao ano anterior. Apesar de o início deste ano ter sido observado um pequeno declínio no número de bloqueios, os mesmos se tornaram mais sofisticados e direcionados, muitas vezes utilizando ferramentas de gangues que já encerraram suas atividades.
Os invasores seguem atacando praticamente todos os tipos de organizações, desde hospitais, até indústrias e governos. Apesar dos alvos serem praticamente os mesmos, os cinco grandes grupos de ransomware mudaram drasticamente ao longo do último ano. Os falecidos REvil e Conti, que ocupavam respectivamente o segundo e terceiro lugar em ataques no primeiro semestre de 2022, foram substituídos pelo Vice Society e pelo BlackCat no primeiro trimestre de 2023.
As gangues de ransomware também se tornaram mais produtivas, com grupos como o BlackCat ajustando suas técnicas ao longo do ano. A situação geopolítica também influencia a atuação de alguns grupos, que tomam partido político – um exemplo é o grupo russo Eternity. Este grupo criou todo um novo ecossistema, com uma nova variante de ransomware.
Para o restante de 2023, os especialistas da Kaspersky apresentaram três tendências principais de evolução para esse cenário: A primeira refere-se às funcionalidades incorporadas ao ransomware, como o recurso de autopropagação ou uma imitação dele. Black Basta, LockBit e Play estão entre os exemplos mais importantes que se disseminam por conta própria.
A segunda tendência é o uso indevido de um driver com fins maliciosos: algumas vulnerabilidades no driver de alguns programas antivírus foram exploradas pelas famílias de ransomware AvosLocker e Cuba, que usam uma técnica chamada BYOD (Bring Your Own Driver). Ao que consta, o driver anticheat do jogo Genshin Impact foi usado para acabar com a proteção de endpoints na máquina-alvo. A tendência continua sendo observada com vítimas importantes, como instituições governamentais em países europeus.
Por fim, os especialistas da Kaspersky destacam como as maiores gangues de ransomware estão adotando funcionalidades de código vazado ou código vendido por outros cibercriminosos, o que pode melhorar as funções de seu malware. Recentemente, o grupo LockBbit adotou pelo menos 25% do código vazado do Conti, e lançou uma nova versão totalmente baseada nele. Esse tipo de iniciativa facilita a afiliação de novos grupos de cibercriminosos que já estão acostumados a trabalhar com as famílias de ransomware mais antigas.
“As gangues de ransomware nos surpreendem o tempo todo e nunca param de mudar seu modus operante. Temos observado durante o último ano e meio que estão gradativamente transformando seus serviços em negócios completos. Isso torna até os criminosos amadores muito perigosos”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky.
A Kaspersky incentiva as organizações a seguirem as seguintes boas práticas:
- Sempre mantenha o software atualizado em todos os dispositivos corporativos para evitar que criminosos explorem vulnerabilidades e se infiltrem na rede.
- Concentre sua estratégia de defesa na detecção de movimentação lateral e na exfiltração de dados para a Internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos com sua rede. Configurem backups off-line que invasores não serão capazes de adulterar. Garanta que você possa acessá-los rapidamente quando necessário ou em caso de emergência.
- Ative a proteção contra ransomware em todos os endpoints. A ferramenta Kaspersky Anti-Ransomware Tool for Business é gratuita e blinda os computadores e servidores de ransomware e outros tipos de malware, evita exploits e é compatível com as soluções de segurança já instaladas.
- Instale soluções anti-APTs e de EDR, ativando as funcionalidades de descoberta e detecção de ameaças avançadas, investigação e rápida neutralização de incidentes. Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente e os qualifiquem regularmente com treinamentos profissionais. Tudo isso está disponível na estrutura Kaspersky Expert Security.
Saiba mais sobre as tendências atuais do ransomware no relatório completo, disponível em Securelist.
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.