Ransomware como serviço: bandidos e seu serviço RaaS

2. Setembro 2022
| Sem comentários
Ransomware-as-a-Service: bandidos e seus serviços

Compartilhar postagem

As ofertas “como serviço” podem ser encontradas em toda parte em TI. Os cibercriminosos também adaptaram essa ideia de serviço e oferecem ransomware como serviço, abreviado como RaaS, há algum tempo. Isso significa que invasores menos sofisticados também podem realizar ataques de ransomware. O número de ataques aumenta muito. Uma análise de Arctic Wolf.

Como um Estudo da associação digital Bitcom eV mostra, 2020% de todas as empresas foram afetadas por ataques de ransomware em 21/88. O boom do trabalho remoto, home office, cloudificação e dispositivos IoT em rede está jogando nas mãos dos invasores, pois essas tendências aumentam a superfície de ataque e oferecem novos gateways.

Nesses ataques, os cibercriminosos invadem os sistemas corporativos e roubam e/ou criptografam determinadas informações. Para poder descriptografar esses dados novamente, um resgate é exigido. Além dos consideráveis ​​prejuízos financeiros causados ​​pelo pagamento ou pelos processos de cobrança, tais ataques também podem levar a enormes prejuízos reputacionais. A maioria desses ataques (estimados Por cento 64) já estão ocorrendo usando o método RaaS – e a tendência é aumentar.

Um serviço do lado negro

No caso de ofertas de RaaS, grupos de ransomware como Conti, REvil ou RagnarLocker e seus grupos dissidentes e sucessores fornecem as ferramentas ou plataformas apropriadas, bem como serviços complementares, como instruções, melhores práticas e até um helpdesk de TI. Embora os nomes dos grupos sejam altamente voláteis, os atores reais geralmente permanecem os mesmos. Eles agem de maneira altamente profissional e não têm nada a ver com o clichê hacker comum do lobo solitário que usa capuz. De facto, dificilmente se distinguem de empresas conceituadas: com departamento de recursos humanos próprio, programas de bónus e prémios de “Funcionário do Mês”, como recentemente um hack mostrou.

Cyber ​​gangster com estrutura corporativa

Os serviços geralmente podem ser encontrados na deep ou dark web. Os provedores às vezes diferem muito no que oferecem. Assim como os provedores de serviços respeitáveis, as gangues RaaS também oferecem tudo o que um coração (criminoso) deseja, desde a simples compra de ransomware até um modelo de assinatura. Os provedores também oferecem diferentes modelos quando se trata de estratégia de preços – desde um pagamento único na compra até modelos de leasing e ações no resgate.

Criptomoedas como Bitcoin, Monero e Co. são um fator chave de sucesso para ataques RaaS, pois são difíceis de rastrear e podem ser “lavadas” com relativa facilidade. Como tal, eles são excelentes para pagamentos de RaaS e demandas de resgate, e é improvável que o recente Declínio do preço da criptomoeda muita coisa vai mudar. Os preços em queda são simplesmente compensados ​​na fase de negociação com a vítima.

O que fazer quando as coisas ficam sérias?

A criptografia dos sistemas e a ameaça de publicação dos dados capturados, como informações de clientes, detalhes de produtos e dados financeiros, podem ameaçar a existência das empresas. Isso é o que torna o RaaS tão atraente e torna o ransomware uma moeda de troca incrivelmente poderosa nas mãos dos cibercriminosos. Se um ataque de ransomware foi bem-sucedido, muitas empresas geralmente ficam perdidas no início. Desesperados e desamparados, eles muitas vezes não têm outra escolha a não ser atender ao pedido de resgate - embora o LKA, BKA e BSI desaconselhem estritamente, para não financiar adicionalmente o crime organizado e criar motivação para novos crimes. Mas como as empresas devem reagir?

Após o ataque, o descanso conta

dr Sebastian Schmerl, Diretor de Serviços de Segurança EMEA, Arctic Wolf

Em primeiro lugar, mantenha a calma! O ataque agudo não é o momento certo para atribuir culpa. Em vez disso, agora é hora de trabalharmos juntos e não agirmos precipitadamente. As autoridades relevantes devem ser informadas imediatamente (elas também estão disponíveis para fornecer aconselhamento). Se uma empresa já possui um plano de contingência, ele deve ser seguido. O próximo passo é analisar e refletir sobre a situação e então iniciar as contramedidas necessárias. Se faltarem recursos internos e experiência nessa situação excepcional, as empresas também podem recorrer à ajuda profissional de provedores de serviços de segurança externos, como Lobo Ártico voltar a cair.

  • O primeiro passo é esclarecer a situação atual. Isso significa a implementação de Resposta a Incidentes- Medidas para impedir a propagação do incidente.
  • Uma vez que o status quo tenha sido esclarecido, eles devem extensão do dano e opções de recuperação seja determinado. Quais backups ainda estão disponíveis e precisam ser colocados offline? Quais serviços são afetados, quais dados são criptografados e quais ações de recuperação precisam ser tomadas?
  • Uma vez respondidas essas perguntas, o terceiro passo é Informações de inteligência de ameaças reunir, ou seja, todas as informações sobre os invasores, o malware usado e incidentes semelhantes.
  • Na quarta etapa, o Business Case configurado - o pedido de resgate deve ser atendido ou não? Todos os aspectos devem ser avaliados com muito cuidado: capital da empresa, possíveis danos à reputação, ações judiciais, etc.
  • Na quinta e última etapa, vamos ao que interessa: o Negociações com os criminosos cibernéticos. Há dois pontos a serem observados aqui: As negociações estão sendo feitas com criminosos, ou seja, não há garantias. No entanto, a polidez é necessária para não incomodar a outra pessoa desnecessariamente.

Ransomware: Prevenir é melhor do que remediar

Independentemente de o resgate ter sido pago ou não, o caso deve ser bem encaminhado para melhor posicionar a empresa no futuro. Após o ataque, todos os sistemas devem primeiro ser cuidadosamente verificados e limpos, e os dados de login de todos os usuários devem ser reatribuídos. Além disso, caça intensiva ou monitoramento público, dark e deep web devem seguir para garantir que nenhum dado tenha sido realmente publicado.

Por último, mas não menos importante: melhor prevenir do que remediar! “A melhor proteção contra ataques de ransomware é uma boa preparação. As lacunas de segurança e as fraquezas do sistema devem ser corrigidas com patches regulares e um monitoramento de segurança abrangente deve ser realizado. Como costuma acontecer, a maior fraqueza é o fator humano. A medida mais importante é, portanto, treinar os funcionários regularmente e, assim, estabelecer uma mentalidade de segurança na empresa. Se a empresa não tiver os recursos internos necessários para isso, ela pode recorrer a especialistas de segurança confiáveis ​​- como Arctic Wolf - que a apoiam na implementação dessas medidas de segurança. Se tudo isso for levado em conta, a empresa está bem preparada para uma emergência.” de acordo com o dr. Sebastian Schmerl, Diretor de Serviços de Segurança EMEA, Arctic Wolf.

Mais em ArcticWolf.com

 

Sobre o Lobo do Ártico

A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

 

Stories
, , , , ,