Ransomware despeja fortunas nas contas de criptomoedas dos cibercriminosos. Mas onde vai parar todo o carvão? Uma vida no colo do luxo? A pesquisa da Sophos mostra que muito dinheiro está sendo investido em novos ataques. Quem paga também financia o próximo ataque a si mesmo.
Para onde vão os milhões de Bitcoins & Co. que as vítimas de ataques de ransomware pagam a seus chantagistas na suposição de que eles recuperarão a posse de seus dados confiscados? Pelo menos uma vez houve um palpite: durante uma prisão na Ucrânia de suspeitos ligados ao grupo de ransomware Clop, houve uma coleção impressionante de etiquetas de carros coletadas como prova e vários carros de luxo encontrados em caminhões de reboque foram carregados e confiscados.
Reinvestir para novos ataques
Mas, como qualquer boa empresa, os cibercriminosos também investem uma certa porcentagem dos lucros de volta nas "operações". E a expansão do negócio do cibercrime em geral também é um modelo de negócios popular para usar os dólares ganhos. Portanto, não é de surpreender que no ano passado o grupo REvil tenha doado US$ XNUMX milhão em bitcoins para um fórum de cibercrimes como pagamento adiantado pelos serviços prestados. No entanto, essa ação serviu mais para provar aos membros do fórum que o dinheiro oferecido era mais do que uma promessa: já era um investimento obrigatório a ser gasto em “candidatos” bem-sucedidos.
RAT, LPE, RCE - o jargão do cibercrime sob a lupa
As ofertas neste mercado de crimes cibernéticos parecem enigmáticas, variando de software sem arquivo para Windows 10 de até US$ 150.000 para a solução original, a explorações de dia zero, incluindo RCE com um orçamento multimilionário, a ofertas como “Vou comprar RATs mais limpos .” A lista de termos técnicos nos fóruns de crimes cibernéticos é longa, os mais importantes são brevemente descritos abaixo:
RAT = Trojan de acesso remoto
Também conhecidos como bots ou zumbis. Os RATs abrem brechas de acesso não autorizado que permitem que golpistas assumam o controle do PC. Alguns RATs fornecem comandos explícitos de acesso remoto que ativam o keylogging, fazem capturas de tela, gravam áudio e vídeo ou copiam arquivos confidenciais.
Mas quase todos os RATS também possuem recursos que podem atualizar automaticamente os próprios RATs, baixar ou instalar malware adicional ou aleatório ou fechar o RAT original imediatamente e remover todas as evidências. A enorme capacidade de um RAT de se transformar em um tipo completamente diferente de malware mostra que os riscos representados por um RAT não detectado são quase ilimitados.
Software sem arquivo "vive" no registro
Tecnicamente, o software que "mora" no registro (no Windows, local onde reside a configuração do sistema operacional) não é realmente sem arquivo, porque o próprio registro reside em um arquivo no disco rígido. Mas a maioria dos softwares que o Windows inicia automaticamente na inicialização é listada no registro como um nome de arquivo contendo o programa a ser executado. Portanto, se o programa for malicioso ou indesejado, uma verificação regular do disco rígido pode localizar e remover o malware. Esse é o curso normal. No entanto, algumas entradas de registro podem conter o script ou programa real que você deseja que o Windows execute codificado diretamente nos dados do registro. As ameaças armazenadas dessa maneira não ocupam seu próprio arquivo no disco e, portanto, são mais difíceis de encontrar.
LPE = Escalonamento de Privilégios Locais
Os fraudadores não podem penetrar no computador em um LPE. Mas: se eles já estiverem no sistema, eles podem usar uma vulnerabilidade LPE para se promover de uma conta de usuário normal para uma conta com mais direitos. O favorito do hacker é o administrador do domínio, quase em pé de igualdade com o administrador do sistema.
RCE = Execução Remota de Código
Faz exatamente o que diz: os invasores entram no computador e iniciam um programa de sua escolha sem um nome de usuário/senha de login.
Exploits de dia zero
Vulnerabilidades para as quais ainda não há patches
ataque de clique zero
Ataques que não requerem ação do usuário. A tecnologia funciona mesmo quando o computador está bloqueado ou ninguém está logado, como costuma acontecer em servidores.
A questão crucial após um ataque de ransomware: pagar ou não
Contar ou não contar, eis a questão após um ataque hacker bem-sucedido com ransomware. Infelizmente, embora nenhum resgate deva ser pago, não há uma resposta única, pois pode ser a única chance da vítima evitar um desastre comercial. No entanto, como o Sophos State of Ransomware Report 2021 deixa claro, pagar o resgate está longe de ser uma garantia de recuperação completa dos dados. Apenas 8% dos que pagaram o resgate recuperaram todos os seus dados posteriormente. "Qualquer um que disse a si mesmo que pagar o resgate para economizar tempo e esforço de recuperação não pode causar muito dano a outras pessoas deveria saber melhor", disse Paul Ducklin, tecnólogo sênior da Sophos. "Fazer negócios com cibercriminosos é brincar com fogo e, ao mesmo tempo, todos devem estar cientes de que o dinheiro da extorsão não é gasto apenas em luxos privados, mas também em novos ataques e tecnologias, aumentando assim o crescimento do negócio do cibercrime como impulsionado um todo."
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.