Nos últimos cinco anos, o ransomware deixou de ser uma ameaça para computadores individuais e passou a representar um sério perigo para as redes corporativas. Os cibercriminosos pararam de simplesmente tentar infectar o maior número possível de computadores e agora têm como alvo grandes vítimas. Ataques a organizações comerciais e agências governamentais requerem um planejamento cuidadoso, mas podem levar a recompensas da ordem de dezenas de milhões de dólares.
Grupos de ransomware exploram a influência financeira das empresas, que tende a ser muito maior do que a dos usuários comuns. Além do mais, muitos grupos de ransomware modernos roubam dados antes da criptografia, adicionando a ameaça da publicação como uma vantagem adicional. Para a empresa afetada, isso adiciona todos os tipos de riscos, desde danos à reputação a problemas com acionistas e multas de reguladores, que muitas vezes somam mais do que o resgate.
De acordo com nossos dados, 2016 foi um ano divisor de águas. Em apenas alguns meses, o número de ataques cibernéticos de ransomware em organizações triplicou: enquanto em janeiro de 2016 registramos um incidente a cada 2 minutos em média, no final de setembro o intervalo havia encolhido para 40 segundos.
Desde 2019, os especialistas observam regularmente ataques direcionados de uma série de ransomware para grandes redes. Os próprios sites dos operadores de malware mostram estatísticas de ataque. Usamos esses dados para compilar uma classificação dos grupos cibercriminosos mais ativos.
1. Maze (também conhecido como ransomware ChaCha)
O ransomware Maze, detectado pela primeira vez em 2019, rapidamente alcançou o topo de sua classe de malware. Do número total de vítimas, foi responsável por mais de um terço. O grupo por trás do Maze foi um dos primeiros a roubar dados antes da criptografia. Se a vítima se recusasse a pagar o resgate, os cibercriminosos ameaçavam publicar os arquivos. A técnica se mostrou eficaz e foi posteriormente adotada por muitas outras operações de ransomware, incluindo REvil e DoppelPaymer, que discutiremos a seguir.
Em outra inovação, os cibercriminosos começaram a relatar seus ataques à mídia. No final de 2019, o grupo Maze contou à Bleeping Computer sobre a invasão na empresa Allied Universal, anexando alguns dos arquivos roubados como prova. Em suas conversas por e-mail com os editores do site, o grupo ameaçou enviar spam dos servidores da Allied Universal e, posteriormente, publicou os dados confidenciais da empresa invadida no fórum do Bleeping Computer.
Os ataques do Maze continuaram até setembro de 2020, quando o grupo começou a encerrar suas operações, embora não antes que várias corporações internacionais, um banco estatal na América Latina e o sistema de informações de uma cidade dos EUA já tivessem sofrido com suas atividades. Em cada um desses casos, os operadores do Maze exigiram vários milhões de dólares das vítimas.
2. Conti (também conhecido como ransomware IOCP)
O Conti apareceu no final de 2019 e foi muito ativo ao longo de 2020, respondendo por mais de 13% de todas as vítimas de ransomware durante este período. Seus criadores permanecem ativos.
Um detalhe interessante sobre os ataques Conti é que os cibercriminosos oferecem à empresa-alvo ajuda com segurança em troca de concordar em pagar, dizendo “Você receberá instruções sobre como fechar o buraco na segurança e como evitar tais problemas no futuro + recomendaremos também um software especial que causa mais problemas para os hackers. ”
Tal como acontece com o Maze, o ransomware não apenas criptografa, mas também envia cópias de arquivos de sistemas hackeados para operadores de ransomware. Os cibercriminosos então ameaçam publicar as informações online se a vítima não cumprir suas demandas. Entre os ataques de Conti mais notórios está a invasão de uma escola nos Estados Unidos, seguida por um pedido de resgate de U$ 40 milhões. (O governo disse que estava disposto a pagar U$ 500 mil, mas não negociaria 80 vezes esse valor.)
3. REvil (também conhecido como Sodin, ransomware Sodinokibi)
Os primeiros ataques de ransomware REvil foram detectados no início de 2019 na Ásia. O malware rapidamente atraiu a atenção de especialistas por suas proezas técnicas, como o uso de funções legítimas da CPU para contornar os sistemas de segurança. Além disso, seu código continha sinais característicos de ter sido criado para locação.
Nas estatísticas totais, as vítimas de REVIL representam 11%. O malware afetou quase 20 setores de negócios. A maior parte das vítimas recai sobre Engenharia e Manufatura (30%), seguida por Finanças (14%), Serviços Profissionais e ao Consumidor (9%), Jurídico (7%) e TI e Telecomunicações (7%). A última categoria foi responsável por um dos ataques de ransomware de grande importância de 2019, quando os cibercriminosos invadiram vários MSPs e distribuíram Sodinokibi entre seus clientes.
O grupo atualmente detém o recorde da maior demanda de resgate já conhecida: U$ 50 milhões da Acer em março de 2021.
4. Netwalker (também conhecido como ransomware Mailto)
Do total de vítimas, o Netwalker foi responsável por mais de 10%. Entre seus alvos estão gigantes da logística, grupos industriais, corporações de energia e outras grandes organizações. No espaço de apenas alguns meses em 2020, os cibercriminosos arrecadaram mais de U$ 25 milhões.
Seus criadores parecem determinados a levar o ransomware para as massas. Eles se ofereceram para alugar o Netwalker para golpistas solitários em troca de uma fatia dos lucros do ataque. De acordo com a Bleeping Computer, a parcela do distribuidor de malware pode chegar a 70% do resgate, embora tais esquemas normalmente paguem aos afiliados muito menos.
Como prova de sua intenção, os cibercriminosos publicaram capturas de tela de grandes transferências de dinheiro. Para tornar o processo de locação o mais fácil possível, criaram um site para postar os dados roubados assim que terminasse o período para o resgate.
Em janeiro de 2021, a polícia apreendeu recursos da dark web da Netwalker e acusou o canadense Sebastien Vachon-Desjardins de obter mais de U$ 27,6 milhões com a atividade de extorsão. Vachon-Desjardins estava encarregado de encontrar vítimas, invadir suas redes e implantar o Netwalker em seus sistemas. A reação da lei efetivamente matou Netwalker.
5. Ransomware DoppelPaymer
O último vilão da nossa rodada é o DoppelPaymer, ransomware cujas vítimas representam cerca de 9% no total. Seus criadores também deixaram sua marca com outros malwares, incluindo o Trojan bancário Dridex e o agora extinto BitPaymer (também conhecido como FriedEx) ransomware, considerado uma versão anterior do DopplePaymer. Portanto, o número total de vítimas desse grupo é, de fato, muito maior.
As organizações comerciais atingidas pela DoppelPaymer incluem fabricantes de eletrônicos e automóveis, bem como uma grande empresa petrolífera latino-americana. A DoppelPaymer frequentemente visa organizações governamentais em todo o mundo, incluindo serviços de saúde, emergência e educação. O grupo também ganhou as manchetes depois de publicar informações eleitorais roubadas do condado de Hall, Geórgia, e receber U$ 500.000 do condado de Delaware, Pensilvânia, ambos nos Estados Unidos.
Os ataques da DoppelPaymer continuam até hoje: em fevereiro deste ano, um grupo de pesquisa europeu anunciou que havia sido hackeado.
Métodos de ataque direcionados
Todo ataque direcionado a uma grande empresa é o resultado de um longo processo de localização de vulnerabilidades na infraestrutura, elaboração de um cenário e seleção de ferramentas. Em seguida, ocorre a penetração, espalhando malware por toda a infraestrutura corporativa. Os cibercriminosos às vezes permanecem dentro de uma rede corporativa por vários meses antes de criptografar arquivos e emitir uma solicitação.
Os principais caminhos para a infraestrutura são por meio de:
● Conexões de acesso remoto mal protegidas. As conexões RDP (Remote Desktop Protocol, sigla em inglês) vulneráveis são um meio tão comum de distribuir malware que grupos no mercado negro oferecem serviços para explorá-los. Quando grande parte do mundo mudou para o trabalho remoto, o número desses ataques disparou. Este é o modus operandi do Ryuk, REvil e outros tipos de ransomware;
● Vulnerabilidades de aplicativos de servidor. Os ataques a side-server softwares fornecem aos cibercriminosos acesso aos dados mais confidenciais. Um exemplo recente aconteceu em março, quando o ransomware DearCry atacou por meio de uma vulnerabilidade de dia zero no Microsoft Exchange. O side-server software com proteção insuficiente pode servir como um ponto de entrada para um ataque direcionado. Problemas de segurança também surgem em servidores VPN corporativos, alguns exemplos dos quais vimos no ano passado;
● Ataques de botnet. Para atrair ainda mais vítimas e aumentar os lucros, os operadores de ransomware usam botnets. Operadores de rede zumbis fornecem a outros cibercriminosos acesso a milhares de dispositivos comprometidos, que procuram automaticamente sistemas vulneráveis e baixam ransomware neles. É assim que, por exemplo, o ransomware Conti e DoppelPaymer se espalharam;
● Ataques à cadeia de suprimento O melhor exemplo dessa ameaça é o REvil: o grupo comprometeu um provedor MSP e então distribuiu ransomware para as redes de seus clientes;
● Anexos maliciosos. E-mails contendo macros maliciosas em documentos do Word anexados ainda são uma opção popular para entrada de malware. Um de nossos 5 principais vilões, o NetWalker, usou anexos maliciosos para prender as vítimas – seus operadores enviaram correspondências com “COVID-19” na linha de assunto.
Como as empresas podem ficar protegidas
● Treine funcionários em higiene digital. Eles devem saber o que é phishing, nunca clicar em links em e-mails suspeitos ou baixar arquivos de sites duvidosos e como criar, lembrar e proteger senhas fortes. Realizar treinamentos regulares em segurança da informação não apenas para minimizar o risco de incidentes, mas também para mitigar os danos caso os invasores ainda consigam penetrar na rede;
● Atualize regularmente todos os sistemas operacionais e aplicativos para garantir proteção máxima contra ataques por meio de vulnerabilidades de software conhecidas. Cuide da atualização do software do lado do cliente e do lado do servidor;
● Realize auditorias de segurança, verifique a segurança do equipamento e controle quais portas estão abertas e acessíveis na Internet. Use uma conexão segura para trabalho remoto, mas lembre-se de que mesmo VPNs podem ser vulneráveis;
● Crie backups de dados corporativos. Ter backups ajuda não apenas a reduzir o tempo de inatividade e restaurar processos de negócios mais rapidamente no caso de um ataque de ransomware, mas também a se recuperar de eventos mais monótonos, como mau funcionamento de hardware;
● Use uma solução de segurança profissional que emprega análises comportamentais e tecnologias anti-ransomware;
● Implante um sistema de segurança da informação que seja capaz de reconhecer anomalias na infraestrutura de rede, como tentativas de sondar portas ou solicitações fora do padrão de acesso a sistemas . Contrate experiência externa se você não tiver especialistas capazes de monitorar a rede.