O ransomware só conseguiu escapar do primeiro lugar para a maioria dos ataques no segundo trimestre. No terceiro trimestre, o Cisco Talos Report lista que, pela primeira vez, a educação é o setor mais atingido por ataques cibernéticos - por ransomware.
De acordo com a análise do Cisco Talos Incident Response (CTIR), o ransomware voltou ao topo de todos os ataques cibernéticos no terceiro trimestre de 2022. Como no primeiro trimestre, as tentativas de chantagem foram o método de ataque mais comum. Além de representantes de ransomware conhecidos, como Hive e Vice Society, novas variantes como Black Basta foram usadas. Também houve uma mudança nos setores mais afetados: a educação substituiu o setor de telecomunicações.
Lista de ataque: educação, depois finanças
A Talos, uma das maiores organizações de inteligência comercial de ameaças do mundo, divulgou sua avaliação trimestral de ameaças para o terceiro trimestre de 2022. De acordo com isso, os invasores visam com mais frequência o setor educacional, seguido de perto por finanças, governo e energia.
“Pela primeira vez em 2022, o setor de telecomunicações deixou de ser o setor mais atacado”, disse Holger Unterbrink, líder técnico da Cisco Talos na Alemanha. “Isso pode indicar que as empresas em todo o mundo aumentaram significativamente suas medidas de proteção e, portanto, são alvos menos lucrativos para os invasores. Atualmente, o sistema educacional, o setor público e os fornecedores de energia precisam fortalecer suas defesas, especialmente por meio de autenticação multifatorial e soluções de detecção de ameaças.”
Ransomware antigo e novo
No terceiro trimestre, a Talos observou cada vez mais ataques por meio das conhecidas famílias de ransomware Hive e Vice Society. A Vive Society foi usada com frequência desproporcional para ataques cibernéticos a instituições educacionais, como ilustrado por um caso da Áustria. Ao analisar os logs de eventos, os pesquisadores de segurança do Talos encontraram várias tentativas de um host infectado de se conectar a outras partes da rede por meio do Remote Desktop Protocol (RDP). Isso indicou um chamado "movimento lateral" dos atacantes. O que se quer dizer é a tentativa de um hacker de um sistema comprometido para encontrar informações do usuário com autorizações de acesso em computadores clientes, com as quais ele pode se mover pela rede.
A Talos também encontrou indicadores para o uso do software de acesso remoto AnyDesk e TeamViewer, com mais de 50 sistemas acessando URLs relacionados ao TeamViewer. Ao mesmo tempo, o Windows Defender foi complementado com uma exceção para a execução de "AnyDesk.exe" por meio da conta SYSTEM.
Ransomware Black Basta na vanguarda
Além das conhecidas famílias de ransomware, a nova variante Black Basta, que apareceu pela primeira vez em abril de 2022, também foi cada vez mais usada. Por exemplo, a injeção deles foi preparada por atividades do Qakbot que usavam sequestro de thread e arquivos ZIP protegidos por senha. Em um ataque a uma empresa dos EUA, os invasores provavelmente enviaram primeiro um e-mail de phishing com um anexo em HTML. Quando aberto, iniciava um JavaScript que baixava um arquivo ZIP malicioso. Isso então instalou o Trojan Qakbot, que os invasores usaram para lançar o ransomware Black Basta. A técnica de dupla chantagem baseada nisso é particularmente pérfida: se a vítima não pagar um resgate por seus arquivos criptografados, existe o risco de que as informações confidenciais coletadas sejam publicadas.
Os resultados do Talos deixam claro que a ameaça representada pelo ransomware não foi evitada. Pela primeira vez, o relatório registrou um número igual de casos de ransomware e pré-ransomware no terceiro trimestre, que juntos representaram quase 40% das ameaças. As atividades pré-ransomware preparam o ransomware para implantação posterior, como no caso Black Basta descrito acima.
Embora cada atividade que leva a uma ameaça de ransomware seja única, há pontos em comum. Isso inclui enumeração de host, coleta de credenciais e escalonamento de privilégios. Se nenhum ransomware for usado posteriormente, o invasor pode ter roubado dados suficientes para causar danos significativos.
Mais em Cisco.com
Sobre a Cisco
A Cisco é a empresa de tecnologia líder mundial que torna a Internet possível. A Cisco está abrindo novas possibilidades para aplicativos, segurança de dados, transformação de infraestrutura e capacitação de equipes para um futuro global e inclusivo.