O ransomware continuou a mudar ao longo do tempo. O ataque de ransomware Colonial Pipeline, que é apenas parte de uma nova onda de ataques contra vítimas importantes, mostra o quanto. Um comentário de Jon Clay, Diretor Global de Comunicações de Ameaças, Trend Micro.
Após o ataque cibernético a um dos maiores gasodutos dos EUA, suas operações foram temporariamente suspensas. Os agentes maliciosos procuram os montantes de extorsão mais elevados possíveis e, portanto, visam organizações que estão mais dispostas a pagar se perturbarem as suas operações comerciais. Isto já foi visto antes com vítimas nos setores governamental e educacional. Quanto mais sofrimento os criminosos puderem infligir a uma organização, maior será a probabilidade de a vítima pagar. O que as empresas podem fazer?
Os ataques de ransomware passaram por vários estágios e agora estamos observando a Fase 4:
1ª fase: Simplesmente ransomware, os arquivos são criptografados e então o pedido de resgate é entregue... e então aguarda o pagamento em Bitcoin.
2ª fase: Dupla chantagem. Fase 1 + exfiltração de dados e ameaça de publicação. Maze foi o primeiro ransomware a fazer isso, e os outros atores seguiram o exemplo.
3ª fase: Chantagem tripla. Fase 1 + Fase 2 e ameaça de DDoS. Avaddon foi o primeiro caso documentado.
4ª fase: Extorsão quádrupla. Fase 1 + (possivelmente Fase 2 ou Fase 3) + mala direta para a base de clientes da vítima. Esta foi a primeira vez que o Cl0p foi usado dessa forma, descreveu Brian Krebs.
A maior parte é agora dupla extorsão, mas estamos a assistir a uma mudança no sentido de visar sistemas empresariais críticos. Neste último caso nos EUA, nenhum sistema de TO parece ter sido afetado, mas os sistemas de TI conectados à rede provavelmente foram os alvos. No entanto, isto pode mudar, uma vez que muitas organizações têm uma rede de TO que é crítica para as suas operações e pode, portanto, tornar-se um alvo. Já mostramos como as empresas de manufatura estão sendo atacadas com ransomware moderno e quais os efeitos que isso tem.
Consequências para as empresas
A falha dos sistemas que controlam as operações diárias de uma empresa pode causar danos financeiros e à reputação. Mas um ataque também pode ter consequências indesejadas se atingir vítimas muito importantes, e o ataque ao Oleoduto Colonial pode ser um exemplo disso. Destruir uma parte importante da infra-estrutura crítica de uma nação, mesmo que o motivo seja “meramente” ganho financeiro, poderia levar a acções sérias contra os actores por detrás deste ataque. Assim, no futuro, os agentes mal-intencionados poderão precisar avaliar o impacto potencial do ataque no seu alvo e decidir se faz sentido, do ponto de vista comercial, lançar um ataque.
As contramedidas apropriadas
O ransomware continuará a ser usado no futuro. Portanto, as organizações devem dedicar algum tempo para criar um plano de resposta a incidentes que aborde o novo modelo de ataques de ransomware. Algumas coisas devem ser consideradas:
- Aceite que sua empresa pode se tornar uma vítima. Qualquer organização pode estar potencialmente no radar de atores maliciosos, mas aqueles que operam em infraestruturas críticas devem agora avaliar a probabilidade de serem atacados.
- O acesso como serviço agora é usado regularmente. Via de regra, outro grupo realiza o primeiro acesso e vende para outro grupo. Atacantes determinados sempre encontrarão uma maneira de entrar na sua rede, seja por meio de phishing, de um sistema vulnerável exposto à Internet ou de um ataque à cadeia de suprimentos.
- O uso malicioso de ferramentas legítimas é uma das táticas mais populares em todo o ciclo de ataque.
- As credenciais da conta de seus administradores e aplicativos importantes são direcionadas.
- Os atores do ransomware tentam extrair dados que parecem adequados para dupla extorsão.
- O componente ransomware representará o último recurso em atividades maliciosas porque é a parte mais visível de um ciclo de ataque e mostra à vítima que um sistema foi comprometido.
As empresas que operam redes TO devem considerar os seguintes pontos:
- Entenda os riscos caso sua rede OT fique off-line.
- Estabeleça um modelo de segurança para os dispositivos da rede TO, especialmente aqueles que não suportam um agente de segurança.
- A segmentação da rede é crítica.
- Se a sua rede TO precisar ser desligada devido a um comprometimento da rede de TI, você deverá considerar como superar essa limitação.
Este último ataque é mais um alerta para todas as organizações fortalecerem suas redes contra ataques e melhorarem sua conscientização quando agentes mal-intencionados estiverem em suas redes. Temos uma plataforma de segurança cibernética multicamadas, Trend Micro Vision One, que pode ajudar a melhorar a detecção e a resposta aos mais recentes ataques de ransomware e aumentar a visibilidade.