De acordo com o Panorama de Ameaças da Kaspersky na América Latina, foram registradas 1,3 milhão de tentativas de ataques de ransomware na região entre janeiro e setembro de 2020, média de 5 mil ataques bloqueados por dia. Entre os países mais atacados estão Brasil, México, Colômbia, Peru e Equador. Os principais vetores de infecção são vulnerabilidades em programas desatualizados ou em versões piratas de softwares, além do uso de senhas simples.
O histórico do ransomware na América Latina é curioso. Entre 2014 e 2017, a quantidade de ataques aumentava em média 30% por ano. Porém, após o famoso caso do WannaCry, há três anos, o interesse dos cibercriminosos diminuiu. Depois de um período de tranquilidade, esta modalidade de ataque ressurgiu em 2018 e, desde então, apresenta crescimento constante de quase 7% ao ano na região. O motivo para o ressurgimento foi a mudança de foco dos ataques: deixaram de ser massivos para se concentrar em vítimas direcionadas, como empresas, entidades governamentais e setores industriais críticos.
A lista de países mais atacados na região é liderada pelo Brasil, que registrou quase metade das detecções (46,7%). Em seguida, México (22,6%) e Colômbia (8%). De acordo com Santiago Pontiroli, analista de segurança da Kaspersky na América Latina, as más práticas das empresas e entidades governamentais permitem que ao ransomware ser ameaça real.
Software pirata
“Cerca de dois em cada três dispositivos latino-americanos apresentam vulnerabilidades críticas. De acordo com nossos dados, 55% dos computadores da região ainda usam o Windows 7 e 5%, o Windows XP. O mais assustador é que a taxa de softwares piratas é de 66% – quase o dobro da média global, de 35%”, afirma Pontiroli.
O pesquisador de segurança destaca que a situação é tão crítica na região que o WannaCry ainda é a família de ransomware número 1. “Este ataque explora a vulnerabilidade MS17-010, corrigida desde 2017, porém as organizações não a corrigem.”
Pontiroli também afirma que as senhas simples são o segundo fator para o ransomware estar ganhando relevância. Nossa análise Kaspersky mostrou também que cerca de 80% dos ataques de rede detectados na região exploram o protocolo de comunicação remota RDP (remote desktop protocol). Nela, os criminosos procuram sistemas mal configurados ou sem as atualizações correspondentes para obter o acesso ao sistema e efetuar a infecção já dentro do ambiente corporativo.
Os ataques que tentam adivinhar as senhas de acesso ao protocolo RDP somaram 517 milhões na região de janeiro a setembro deste ano, média de 1,4 mil bloqueios por segundo.
Há também uma novidade que caracteriza os ataques de ransomware mais recentes: a dupla extorsão. “Embora as campanhas atuais tenham menos vítimas, elas atuam em duas etapas: primeiro, o criminoso cobra o resgate dos dados e, caso a empresa não aceite pagar, o valor do resgate aumenta. Aí começa a segunda parte da chantagem: ameaça de tornar públicos os dados roubados. Há ainda uma terceira alternativa para monetizar o ataque – a venda dos dados roubados em um leilão. Neste caso, tanto a empresa quanto qualquer outra organização (legal ou criminosa) terá acesso aos dados sigilosos da corporação atacada”, explica.
Dicas de proteção para empresas
- Mantenha todos os programas e sistemas operacionais atualizados com a última versão. Não usar softwares piratas, pois a economia não justifica a perda econômica gerada por um ciberincidente.
- Realizar treinamentos de conscientização de segurança, principalmente para explicar aos funcionários os riscos de abrir links, sites e arquivos anexos suspeitos a partir de equipamentos corporativos, além de recomendar a criação de senhas complexas e diferenciadas.
- Impor o uso de uma conexão segura (com o uso de uma VPN) para acessar remotamente qualquer recurso da empresa.
- Adotar uma solução de segurança de qualidade, configurada para detectar comportamentos suspeitos, e que permita a reversão automática de arquivos – estas são tecnologias de proteção específicas para o combate ao ransomware.
- Tenha cópias de segurança (backups) de seus dados, tanto off-line como em serviços de nuvem de qualidade para evitar que também sejam criptografadas.
- Em caso de infecção, consulte o serviço ‘No More Ransom‘, parceria da Kaspersky com a Polícia Nacional Holandesa, a Europol e a McAfee, e que fornece recursos úteis para as vítimas desta ameaça.