Os ataques de ransomware consistem em um ecossistema de atores. Há publicidade e prestação de serviços e parcerias em mercados e fóruns especializados da dark web. O operador do ransomware recebe entre 20 e 40 por cento de participação nos lucros, o restante fica com o parceiro. . O acesso empresarial começa em US$ 50.
Os ataques de ransomware que criptografam dados e exigem resgate estão atingindo empresas de todos os tamanhos e setores. Pode facilmente dar a impressão de que os atores agem arbitrariamente. Na verdade, porém, existe um ecossistema complexo por trás dele com muitos atores diferentes, cada um assumindo papéis individuais. Por ocasião do Dia Anti-Ransomware, a Kaspersky está fornecendo informações sobre o complexo ecossistema por trás do ransomware em um novo relatório [1].
Ecossistema de ransomware está procurando parceiros
Um exemplo de oferta: o acesso remoto de um usuário a uma empresa é oferecido aqui (Imagem: Kaspersky).
Desenvolvedores, mestres de bot, fornecedores de credenciais ou operadores de ransomware: o ecossistema de ransomware consiste em uma variedade de participantes. Todos eles oferecem diferentes serviços por meio de anúncios na Darknet [2]. Grupos profissionais proeminentes e independentes normalmente não visitam esses sites, mas o REvil, por exemplo, que tem cada vez mais como alvo organizações nos últimos trimestres, agora publica regularmente suas ofertas e notícias por meio de programas de afiliados. Isso cria uma parceria entre o operador de ransomware e o cliente, com o operador de ransomware recebendo uma participação nos lucros entre 20 e 40 por cento como vendedor, enquanto os 60 a 80 por cento restantes permanecem com o "parceiro afiliado". A seleção de parceiros segue um processo elaborado com regras definidas pelos operadores de ransomware – incluindo restrições geográficas ou alinhamentos políticos, enquanto as vítimas de ransomware são selecionadas de maneira a maximizar a utilidade.
Busca comum de lucro
Vendedores e clientes ou parceiros compartilham uma busca comum por lucro, e é por isso que as organizações mais infectadas costumam ser alvos mais simples e de fácil acesso. Esses acessos são leiloados em plataformas de leilões ou oferecidos em fóruns da Darknet a preços fixos a partir de 50 dólares americanos. Os invasores são principalmente proprietários de botnets que participam de campanhas massivas e abrangentes e vendem o acesso aos dispositivos de suas vítimas em massa. Os fornecedores de credenciais, por outro lado, estão sempre atentos a vulnerabilidades divulgadas em software conectado à Internet, como aplicativos VPN ou gateways de e-mail, que podem usar para se infiltrar nas organizações.
Os operadores de ransomware normalmente vendem amostras de malware e criadores de ransomware por US$ 300 a US$ 4.000. Outro modelo de negócios é o ransomware como serviço, em que o ransomware é oferecido com suporte contínuo de seus desenvolvedores por US$ 120 por mês ou US$ 1.900 por ano.
Discuta os riscos juntos e tome contramedidas
Na dark web, o ransomware é oferecido por assinatura em diversos pacotes com prazo de 1, 6 e 12 meses com informações e preços dos produtos (Imagem: Kaspersky).
"Nos últimos dois anos, vimos os cibercriminosos ficarem mais ousados ao lidar com ransomware", disse Craig Jones, diretor de crimes cibernéticos da INTERPOL. “Esses ataques não estão mais limitados a grandes corporações e organizações governamentais. Os operadores de ransomware estão prontos para atacar praticamente qualquer organização, independentemente de seu tamanho. A indústria de ransomware é complexa, envolvendo muitos jogadores diferentes com funções diferentes. Para fazer algo a respeito, precisamos aprender como funciona e combatê-lo como um só. O Dia Anti-Ransomware é uma boa oportunidade para conscientizar e lembrar o público sobre a importância do uso de práticas eficazes de segurança. O Programa Global de Cibercrime da INTERPOL e nossos parceiros estão totalmente comprometidos em reduzir o impacto global do ransomware e proteger a sociedade dos danos causados por essa ameaça crescente."
Ecossistema diversificado de ransomware
“O ecossistema ransomware é multifacetado e há muitos interesses em jogo”, acrescenta Dmitry Galov, pesquisador de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “É um mercado em constante mudança com muitos players, alguns bastante oportunistas, outros muito profissionais e experientes. Eles não selecionam alvos específicos, mas podem atacar qualquer organização, independentemente do tamanho, se obtiverem acesso a um sistema. Seu negócio está prosperando e não vai desaparecer tão cedo. Felizmente, medidas de segurança bastante simples podem impedir os invasores. Procedimentos padrão, como atualizações regulares de software e backups, já ajudam.”
“Contramedidas eficazes contra o ecossistema de ransomware só podem ser tomadas quando seus fundamentos forem realmente compreendidos”, acrescentou Ivan Kwiatkowski, pesquisador sênior de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “Por meio de nosso relatório, esperamos ajudar a entender exatamente como os ataques de ransomware são organizados para que a comunidade de segurança de TI possa tomar as contramedidas apropriadas”.
Mais SecureList em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/