É provável que 2021 fique na história da segurança cibernética como o ano do ransomware. A lista global de vítimas proeminentes varia de operadores de dutos e distritos inteiros a editoras e redes de varejo.
O Varonis Threat Labs identificou três tendências principais que também nos manterão ocupados em 2022. Porque uma coisa é certa: teremos que lidar com ransomware novamente este ano, provavelmente ainda mais fortes e com ainda mais ataques do que 2021.
Ransomware como serviço
No ano passado, houve uma mudança significativa em direção ao modelo de negócios de ransomware como serviço (RaaS), em que grupos recrutam parceiros para executar determinadas partes das operações. Essas várias ofertas oferecem aos cibercriminosos ainda menos experientes acesso a malwares poderosos e kits de ferramentas maliciosos, reduzindo a barreira de entrada para muitos possíveis invasores.
Existem essencialmente dois modelos diferentes: por um lado, assinaturas, onde o ransomware pode ser usado mediante o pagamento de uma taxa e, por outro lado, participações percentuais nos lucros. A segunda variante, em particular, gera todo um ecossistema de parceiros individuais, os chamados afiliados e subgrupos especializados em determinadas áreas de ataque.
Técnicas de varredura em massa buscam acesso
Um exemplo da crescente distribuição de tarefas e especialização são os "Initial Access Brokers" (IAB). Embora não sejam um fenômeno novo, atualmente estão passando por um certo boom. Eles normalmente empregam técnicas de varredura em massa para identificar hosts vulneráveis e, assim, obter acesso inicial aos sistemas das vítimas em potencial. Tradicionalmente, esses acessos são vendidos em fóruns e mercados clandestinos, com preços baseados no valor percebido: por exemplo, acessar uma empresa grande, conhecida e financeiramente forte é mais caro do que acessar uma pequena empresa. Isso permite que os grupos de ransomware atinjam suas vítimas de maneira muito direcionada. Muitos IABs agora também estão se afiliando ou fazendo parceria com grupos de ransomware, tornando-se subcontratados. Em troca, eles recebem uma parte do resgate. Isso geralmente é mais lucrativo do que o modelo clássico de vendas.
Uma alta participação nos lucros sempre reflete um risco maior. Em última análise, os parceiros como "órgãos executivos" correm um risco maior de serem descobertos, enquanto os provedores de RaaS em segundo plano correm muito menos riscos, especialmente porque muitas vezes ocultam sua identidade de seus parceiros. Se, no entanto, forem o foco das autoridades de persecução criminal, os grupos geralmente se escondem por um curto período para se reagrupar mais tarde, geralmente com um nome diferente.
Ransomware personalizado
O Varonis Threat Labs identificou um número crescente de ransomware projetado especificamente para vítimas específicas no ano passado. Isso deve tornar a detecção muito mais difícil e aumentar a eficácia do ataque.
A maioria das ameaças de ransomware são arquivos executáveis que visam o Windows e geralmente são distribuídos usando botnets. No entanto, os ataques também são cada vez mais direcionados a hosts baseados em Linux, incluindo aqueles usados para armazenamento de arquivos e virtualização (como o VMware ESX).
ALPHV (BlackCat) personaliza o ransomware
O grupo de ransomware ALPHV (BlackCat) recentemente identificado está desenvolvendo variantes para Linux e Windows. O ransomware é recriado para cada vítima. Isso inclui, por exemplo, o tipo de criptografia usada (como criptografar apenas partes de arquivos grandes) ou incorporar credenciais da vítima para permitir a propagação automática do ransomware para outros servidores.
Mas não apenas o ransomware em si, mas também o valor do resgate exigido é especificamente adaptado à vítima: os dados financeiros capturados da empresa são analisados para determinar uma quantia financiável. Em alguns casos, até mesmo as apólices de seguro cibernético são examinadas detalhadamente quanto ao valor dos danos cobertos, que é então apresentado como reclamação pelos criminosos cibernéticos.
Extração dupla torna-se o padrão
Com a abordagem de "extorsão dupla", os dados também são roubados antes da criptografia para ameaçar publicá-los e, assim, pressionar ainda mais as vítimas. Em última análise, não é a criptografia e a consequente falha do sistema que representam a maior ameaça para as empresas, mas sim o roubo de dados: o roubo e a publicação de dados pessoais (PII) não apenas prejudicam a reputação, mas também podem resultar em multas do GDPR. Os cibercriminosos agora ameaçam explicitamente envolver as autoridades supervisoras relevantes. Mas vazamentos de propriedade intelectual também podem causar danos enormes se, como resultado, desenvolvimentos inovadores também estiverem acessíveis aos concorrentes.
O desenvolvimento tático não termina de forma alguma com a dupla chantagem. Os grupos de ransomware estão constantemente desenvolvendo seus métodos de extorsão, começando com uma simples nota de resgate, passando por táticas de "roubar, criptografar e publicar", até entrar em contato com clientes, funcionários, autoridades e a imprensa para informá-los sobre o comprometimento. Para aumentar ainda mais a pressão, muitos grupos se recusam a trabalhar com negociadores e aconselham as vítimas a pagar o dinheiro sem envolver fornecedores de segurança cibernética e agências de aplicação da lei. Caso contrário, as vítimas correriam o risco de exigir mais resgate ou perda permanente de dados.
Níveis de escalonamento como meio de pressão para pagar
Alguns cibercriminosos também adicionam outro nível de escalonamento: com essa "extorsão tripla", os parceiros ou clientes afetados são informados ou outros ataques, como ataques DDoS, são ameaçados. Todas estas medidas servem, em última análise, para aumentar significativamente a pressão sobre as vítimas, a fim de persuadi-las a pagar rapidamente. E aparentemente com sucesso: estima-se que o ransomware tenha causado prejuízos de 2021 trilhões de dólares americanos em todo o mundo em 6. Para comparação: o produto interno bruto da República Federal da Alemanha foi de “apenas” 2020 trilhões de dólares americanos em 3,8.
Mais em Varonis.de
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,