Ransomware 2020: Novas tendências e os maiores incidentes do ano

Entre seus outros problemas, 2020 será lembrado como um ano de crescimento explosivo em infecções por ransomware.

Desde sua primeira aparição, os ransomware passaram por uma evolução na sua jornada — de ferramentas fragmentadas criadas por entusiastas isolados a uma poderosa indústria underground que oferece grandes recompensas para seus criadores. Além disso, o custo de entrada neste mundo sombrio diminui cada vez mais.

Hoje em dia, os aspirantes a cibercriminosos não precisam mais criar seu próprio malware ou mesmo comprá-lo na dark web. Tudo o que precisam é de acesso a uma plataforma de nuvem RaaS (Ransomware-as-a-Service). Fáceis de implantar e sem exigir habilidades de programação, esses serviços permitem que praticamente qualquer pessoa use ferramentas de ransomware, e isso naturalmente leva a um número crescente de incidentes cibernéticos desse tipo.

Outra tendência recente preocupante é a transição de um modelo simples de ransomware para ataques combinados que desviam dados antes de criptografá-los. Nesses casos, o não pagamento resulta não na destruição da informação, mas na sua publicação em fontes abertas ou venda em leilão (fechado). Em um desses leilões, que ocorreu durante o verão de 2020, bancos de dados de empresas agrícolas, roubados usando o ransomware REvil, foram colocados à venda por um preço inicial de US$ 55 mil.

Infelizmente, muitas vítimas de ransomware se sentem obrigadas a pagar, apesar de saberem que não há garantia de que receberão seus dados de volta. Isso ocorre porque os hackers tendem a visar empresas e organizações com baixa tolerância à perda de tempo. O dano causado por uma paralisação da produção, por exemplo, pode chegar a milhões de dólares por dia, enquanto uma investigação de incidente pode levar semanas e não necessariamente trazer tudo de volta à normalidade. E quanto às organizações médicas? Em situações de urgência, alguns empresários sentem que não têm outra opção a não ser pagar.

No outono passado, o FBI emitiu um esclarecimento especial sobre ransomwares, recomendando inequivocamente que ninguém pague nenhum dinheiro aos hackers. (O pagamento incentiva mais ataques e de forma alguma garante a recuperação de informações criptografadas.)

Principais manchetes

Aqui estão apenas alguns dos incidentes ocorridos no primeiro semestre deste ano que apontam para a escala crescente do problema.

Em fevereiro, a empresa dinamarquesa de serviços de instalações ISS foi vítima de ransomware. Os cibercriminosos criptografaram o banco de dados da empresa, o que fez com que centenas de milhares de funcionários em 60 países fossem desconectados dos serviços corporativos. Os dinamarqueses se recusaram a pagar. Restaurar a maior parte da infraestrutura e conduzir uma investigação levou cerca de um mês, e as perdas totais foram estimadas entre US$ 75 a US $114 milhões.

Um ransomware atingiu o provedor de serviços de TI multinacional dos EUA Cognizant na primavera. Em 18 de abril, a empresa admitiu oficialmente ter sido vítima de um ataque do popular ransomware Maze. Os clientes da empresa usam seu software e serviços para fornecer suporte para trabalho remoto a funcionários, cujas atividades foram interrompidas.

Em uma declaração enviada a seus parceiros imediatamente após o ataque, a Cognizant listou endereços IP de servidor específicos do Maze e hashes de arquivo (kepstl32.dll, memes.tmp, maze.dll) como indicadores de comprometimento.

A reconstrução de grande parte da infraestrutura corporativa levou três semanas e a Cognizant relatou perdas entre US$ 50 a US$ 70 milhões em seus resultados financeiros do segundo trimestre de 2020.

Em fevereiro, a Redcar e o Cleveland Borough Council (Reino Unido) sofreram um ataque. O jornal britânico The Guardian citou um membro do conselho dizendo que por três semanas — o tempo necessário para reconstruir efetivamente a infraestrutura de TI usada por centenas de milhares de residentes locais — o conselho foi forçado a recorrer a “papel e caneta”.

Como se proteger

A melhor estratégia é estar preparado. Equipar os serviços de e-mail, que são potenciais portas de entrada para acesso não autorizado, com filtros de spam para bloquear ou colocar em quarentena os anexos executáveis.

Se, apesar de sua preparação, um ataque for bem-sucedido, minimize o tempo ocioso e os possíveis danos, mantendo backups atualizados regularmente de todas as informações críticas de negócios. Armazene seus backups em uma nuvem segura.

Além dos produtos de limpeza digital descritos acima, use soluções especializadas, como a ferramenta Kaspersky Anti-Ransomware. Usando nuvem e análise comportamental, a ferramenta Kaspersky Anti-Ransomware impede que o ransomware penetre nos sistemas, detectando comportamentos suspeitos de aplicativos e, para sistemas que já estão infectados, a ferramenta pode reverter ações maliciosas.

Nossa solução integrada, Kaspersky Endpoint Security for Business, oferece proteção muito mais ampla contra todos os tipos de ameaças. Além dos recursos da ferramenta Kaspersky Anti-Ransomware, o Kaspersky Endpoint Security for Business contém uma gama completa de controles da Web e de dispositivos, a ferramenta Adaptive Anomaly Control e recomendações para configurar políticas de segurança para armar a solução até mesmo contra os tipos de ataques mais recentes, por exemplo, aqueles que usam malware sem arquivo.

Dicas