Ransomware, a explosão da ameaça cibernética

Quando uma ameaça cibernética aumenta em 35 vezes em um ano e continua se tornando ainda mais prevalente no próximo, todas as organizações devem prestar atenção. Isso é exatamente o que aconteceu com o ransomware. Os cibercriminosos têm como alvo organizações de diferentes segmentos de indústria, bem como empresas de praticamente todos os tamanhos.

O ransomware como um serviço (RaaS) e outras ferramentas semelhantes a kit reduziram a barreira de entrada para os cibercriminosos, permitindo que até mesmo invasores novatos tenham sucesso contra infraestruturas de segurança dispersas. E tecnologias monetárias como o bitcoin, tornam virtualmente impossível para as autoridades policiais rastrear os pagamentos de resgate.

Com o crescimento exponencial do resgate pago a grupos de ransomware, a perspectiva de que isso continuará, e em um ritmo mais rápido nos próximos anos é grande. Reconhecendo a ameaça crescente, os bancos estão estocando bitcoins para que seus clientes possam pagar rapidamente aos cibercriminosos para desbloquear os dados hackeados.

O ransomware como um serviço (RaaS) e outras ferramentas semelhantes a kit reduziram a barreira de entrada para os cibercriminosos, permitindo que até mesmo invasores novatos tenham sucesso contra infraestruturas de segurança dispersas. E tecnologias monetárias como o bitcoin, tornam virtualmente impossível para as autoridades policiais rastrear os pagamentos de resgate. Com o crescimento exponencial do resgate pago a grupos de ransomware, a perspectiva de que isso continuará, e em um ritmo mais rápido nos próximos anos é grande. Reconhecendo a ameaça crescente, os bancos estão estocando bitcoins para que seus clientes possam pagar rapidamente aos cibercriminosos para desbloquear os dados hackeados.

Depoimento do departamento federal de justiça de investigação por rasonware

A ameaça descontrolada de Ransomware

A análise de dados globais do FortiGuard Labs mostrou um aumento substancial na atividade geral de ransomware no segundo semestre de 2020, em comparação com o primeiro semestre. Na verdade, o FortiGuard Labs analisou a atividade de todas as assinaturas que classificou como ransomware, o que mostrou um aumento de sete vezes na atividade de ransomware em dezembro em comparação com julho de 2020 (consulte a Figura 1).

Entre os tipos de ransomware mais ativos no segundo semestre de 2020 estavam, Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING e BazarLoader. Cada um deles exibiu vários graus de prevalência, mas a tendência comum entre eles foi um aumento na atividade durante o período. (Ver figura 2)

Os agentes de ameaças descobriram que criptografar sistemas essenciais e exigir um resgate pela chave de descriptografia, é uma maneira relativamente fácil de extorquir dinheiro de organizações, independentemente do tamanho ou do setor ao qual pertençam. Essa forma mais direcionada e sinistra de esquema de ransomware passou a ser conhecida como “caça grande”. Tem estado na moda com as gangues de ransomware ao longo de 2020, e os maiores dias de pagamento gerados por esses esquemas virtualmente garantem que a tendência não vá embora tão cedo.

Muitos adversários aproveitaram as interrupções causadas pela pandemia da COVID-19 para aumentar os ataques de ransomware contra organizações no setor de saúde em particular. Em outubro, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), o Departamento de Saúde e Serviços Humanos e o FBI emitiram um alerta conjunto aos hospitais e serviços de saúde dos EUA sobre o aumento da atividade de ransomware envolvendo o malware TrickBot e BazarLoader. Outros setores que também foram fortemente visados em ataques de ransomware no segundo semestre de 2020, incluíram empresas de serviços profissionais, empresas de serviços ao consumidor, organizações do setor público e empresas de serviços financeiros.

Número total de dispositivos que detectaram rasonware

Múltiplas tendências caracterizaram a atividade de ransomware que o FortiGuard Labs e outros observaram na última metade de 2020. Uma das mais preocupantes foi o aumento constante de ataques de ransomware que envolviam exfiltração de dados e a ameaça subsequente de liberar os dados se o resgate não fosse pago. O uso de roubo de dados como alavanca adicional em campanhas de ransomware realmente só surgiu como uma tática adversária no início de 2020, mas tornou-se parte da maioria dos ataques no final do ano.

Os operadores da maioria dos principais tipos de ransomware, incluindo Sodinokibi, Ryuk, Egregor e Conti, todos implantaram a exfiltração de dados como parte de suas operações padrão no ano passado. Alguns incidentes relatados foram alegações do invasor (as vezes falsas) de roubo de dados para tentar assustar as vítimas e fazê-las pagar um resgate. Em muitos casos, quando as vítimas pagavam para fazer com que os invasores excluíssem os dados roubados, os invasores renegavam e, em vez disso, vazavam ou vendiam os dados para terceiros. Para as organizações, a tendência significa que backups de dados robustos por si só não são mais proteção suficiente contra as demandas de ransomware.

Como o Ransomware ocorre

Distribuição do Ransomware

Como um ataque ransomware acontece? Vamos começar abordando como é distribuído. Qualquer meio digital pode ser usado: e-mail, anexos de site da web, aplicações de negócios, mídias sociais, unidades USB, entre outros mecanismos de entrega digitais. Os e-mails continuam sendo o principal vetor de entrega, sendo que os cibercriminosos preferem usar links em primeiro lugar e anexos, em segundo.

No caso dos e-mails, são enviados e-mails de phishing, como notificações de entrega ou solicitações falsas de atualização de software. Quando o usuário clica no link ou no anexo, geralmente há (mas em menor frequência, recentemente), um download transparente de componentes maliciosos adicionais que, em seguida, criptografam os arquivos com criptografia de chave privada RSA de 2048 bits, tornando quase impossível para o usuário descriptografar os arquivos. Em outras ocasiões, o ransomware é incorporado como um arquivo em um site da Web, o qual, quando baixado e instalado, ativa o ataque.

Principais Causas de ?Infecção por Rasonware

Tipos de Ransomware

Os ataques de ransomware vêm em diferentes formas. No ano passado, houve uma evolução substancial nos ataques de ransomware. O ransomware tradicional persegue os dados, bloqueando arquivos até que o resgate seja pago. Mas, como mencionado acima, com o rápido crescimento dos dispositivos de Internet das Coisas (IoT), surgiu uma nova variedade de ransomware. Ela não persegue os dados de uma organização, mas visa sistemas de controle (como por exemplo, de veículos, linhas de montagem de manufatura, sistemas de energia) e os desliga até que o resgate seja pago.

Observemos rapidamente alguns dos principais tipos de ransomware que existem atualmente:

  • Ransomware disponível no mercado: Alguns tipos de ransomware existem como um software pronto para o uso que podem ser adquiridos pelos cibercriminosos em mercados darknet e instalados em seus próprios servidores abomináveis. O hackeamento e a criptografia de dados e sistemas são gerenciados diretamente pelo software executado no servidor do cibercriminoso. Exemplos de ransomwares prontos para uso incluem o Stampado e o Cerber.
  • Ransomware como um serviço: O CryptoLocker talvez seja o modelo de ransomware como um serviço mais conhecido. Como os seus servidores foram removidos, o CTB-Locker surgiu como o método de ataque de ransomware como um serviço mais comum. Outro ransomware como um serviço que está crescendo rapidamente é o Tox, um kit que os cibercriminosos podem fazer o download. O resultado produz um arquivo executável dedicado que pode ser instalado ou distribuído pelos cibercriminosos, sendo que 20% dos resgates brutos são pagos ao Tox em bitcoins.
  • Programas de afiliados de ransomware: O modelo RaaS usa hackers afiliados com histórico comprovado para espalhar o malware.
  • Ataques a dispositivos IoT: O ransomware se infiltra em dispositivos IoT que controlam sistemas essenciais para uma empresa. Ele desliga esses sistemas até que um resgate seja pago para desbloqueá-los.

Curiosamente, além do código polimórfico, o ransomware geralmente usa código metamórfico para alterar sua identidade digital enquanto opera da mesma maneira. Esse rápido crescimento e evolução constante tornam ainda mais difícil para as organizações que contam com soluções antivírus baseadas em assinaturas tradicionais manter o ritmo. No momento em que uma cepa foi identificada e colocada na lista negra, os cibercriminosos já haviam mudado para uma nova variação. As famílias de ransomware Ryuk e Sodinokibi, por exemplo, contribuíram para um aumento nos valores de resgate exigidos pelos invasores no primeiro trimestre de 2020.

Alvos de ransomware

Praticamente todos os sistemas operacionais são visados por ransomware hoje. Os ataques também se estendem a nuvem e aos dispositivos móveis. A nuvem foi deixada praticamente intocada pelo ransomware, então é uma nova oportunidade de mercado para hackers.

Os cibercriminosos também visam quase todos os setores. Somente em 2020, a CISA emitiu alertas sobre ransomware visando operações de pipeline, de saúde, do setor público, escolas do jardim da infância ao ensino médio e muito mais.

Outra estratégia recente dos hacktivistas de ransomware é direcionar e comprometer servidores de negócios vulneráveis. “O ransomware DearCry direcionado às vulnerabilidades recém-descobertas no Microsoft Exchange no início de 2021 é um bom exemplo dessa tática, além de demonstrar a agilidade dos cibercriminosos.” Ao direcionar os servidores, os hackers podem identificar e visar hosts, multiplicando o número de servidores potencialmente infectados e dispositivos em uma rede. Isso comprime o intervalo de tempo do ataque, tornando o ataque mais viral do que aqueles que começam com um usuário final. Essa evolução pode se traduzir em que as vítimas paguem mais por chaves de descriptografia e um alongamento do tempo para recuperar os dados criptografados.

Alertas emitidos de setores infectados por rasonware em 2020

Conclusão

O impacto financeiro do ransomware é muito maior do que apenas o resgate pago a cibercriminosos. O tempo de inatividade se traduz em milhares, centenas de milhares ou até milhões de dólares em perda de receita e produtividade. Organizações em vários setores da indústria podem atestar essas implicações.

Abordagens graduais de segurança não são suficientes para impedir ataques de ransomware. São necessários modelos integrados que permitem segurança em camadas usando next-generation firewalls (NGFW), segurança de endpoints moderna e muitos outros. Esses controles de segurança também devem usar threat intelligence contra ameaças ao montar uma defesa contra ataques cibernéticos.

1. Jonathan Holmes, et al., “Cyber Summit 2020: Trends and Predictions in Ransomware,” Federal Bureau of Investigation, 2020.
2. “Global Threat Landscape Report: A Semiannual Report by FortiGuard Labs,” Fortinet, fevereiro de 2021.
3. “Most common delivery methods and cybersecurity vulnerabilities causing ransomware infections according to MSPs worldwide as of 2020,” Statista, 16 de fevereiro de 2021
4. David Bisson, “Increase in Ransomware Demand Amounts Driven by Ryuk, Sodinokibi,” Tripwire, 4 de maio de 2020
5. Corey Nachreiner, “Why Ransomware Will Soon Target the Cloud,” Dark Reading, 11 de fevereiro de 2020.
6. “New DearCry Ransomware Targets Exchange Server Vulnerabilities,” FortiGuard Labs, 12 de março de 2021.
7. “Ransomware Alerts and Tips,” Cybersecurity and Infrastructure Security Agency, acessado em 28 de abril de 2021 

Fonte: Fortinet™, publicado em 24 de junho de 2021.