A evolução do ransomware: dados não criptografados são mais valiosos

A evolução do ransomware: dados não criptografados são mais valiosos. O ransomware é uma das maiores ameaças à segurança de uma organização.

No início, os ataques eram conduzidos por entidades únicas que desenvolviam e distribuíam um grande número de cargas automatizadas para vítimas selecionadas aleatoriamente, coletando pequenas quantias de cada ataque “bem-sucedido”. Hoje, após rápido avanço, esses ataques evoluíram para se tornarem processos, principalmente operados por humanos, executados por várias entidades ao longo de várias semanas.

Em 2022, uma em cada 13 organizações sofreu uma tentativa de ataque de ransomware, enquanto o governo da Costa Rica foi forçado a declarar uma emergência nacional quando os hackers russos, do grupo Conti, violaram o Ministério das Finanças daquele país e exigiram um resgate de US$ 20 milhões.

No entanto, à medida que avançamos em 2023, o ransomware como o conhecemos tem evoluído, pois o número de vítimas vem diminuindo e as demandas dos hackers estão mudando. Pode parecer que isso seja uma coisa boa, mas, na verdade, é porque o ecossistema do ransomware tornou-se cada vez mais fragmentado e, paralelamente, com muito mais foco em alvos específicos e mais sofisticados. Novas variações de malware aparecem diariamente, o que criou um cenário de ameaças complexo e difícil de navegar.

Mudança do foco da criptografia para a extorsão

O foco dos cibercriminosos se afastou dos pagamentos de resgate e agora está firmemente direcionado na extorsão de dados não criptografados. Por quê? Dados não criptografados são mais valiosos. Eles podem ser lançados em domínio público quase imediatamente, o que significa que as vítimas estarão ansiosas para recuperá-los, não importa o custo. Muitos tipos diferentes de informações são considerados confidenciais, desde dados corporativos financeiros e proprietários até dados pessoais relacionados à saúde física ou mental, dados financeiros ou qualquer outra Informações de identificação pessoal (PII – Personally Identifiable Information), o que torna a ameaça de exposição de dados ainda mais potente.

Atualmente, alguns grupos ignoram completamente a fase de criptografia, contando apenas com ameaças de exposição de dados para extorquir dinheiro. A exfiltração de dados é muito mais fácil do que criptografar uma rede inteira, implementando a criptografia profissionalmente e auxiliando na descriptografia quando o resgate é pago. Os cibercriminosos encontram maneiras de fazer menos e obter mais.

Um exemplo extremo da eficácia da ameaça de exposição de dados pessoais foi demonstrado em um ataque ao Medibank, uma seguradora de saúde australiana, em outubro de 2022. Quando a empresa se recusou a pagar o resgate de US$ 10 milhões, os cibercriminosos (possivelmente ligados ao grupo REvil) despejaram grandes quantidades de informações pessoais relacionadas à interrupção da gravidez, abuso de drogas e álcool, problemas de saúde mental e outros dados médicos confidenciais relacionados a milhões de clientes australianos e internacionais.

A evolução do Ransomware-as-a-Service (RaaS)

Enquanto o ecossistema de ransomware está se fragmentando, também estamos vendo uma mudança para modelos de negócios mais atraentes, incluindo Ransomware como serviço (RaaS).

Muitas vezes chamado de ransomware operado por humanos, é o aspecto humano que torna o RaaS tão perigoso. Os atacantes humanos podem tomar decisões calculadas que resultam em uma ampla variação de padrões de ataque especificamente adaptados a alvos individuais. Disponível na Dark Web, é essencialmente um acordo entre duas partes. Um desenvolve as ferramentas para realizar um ataque e o outro implanta a carga útil. Se o ataque for bem-sucedido, ambas as partes recebem uma parte dos lucros com o custo inicial e a acessibilidade do RaaS, tornando-o muito fácil. Qualquer um pode comprar um kit e precisa apenas de manuais bem escritos e algum conhecimento técnico básico para executar um ataque.

O RaaS é extremamente lucrativo e qualquer um que o venda é um dos principais alvos das autoridades. Por exemplo, em 2021, o Departamento de Estado dos Estados Unidos ofereceu uma recompensa de US$ 10 milhões por informações que levassem à localização do DarkSide, especialista em RaaS.

O ransomware é uma ameaça significativa e dispendiosa que precisa ser abordada. Mas, estamos vendo as marés mudarem à medida que os governos de todo o mundo se movem em direção a uma ação ofensiva contra esses grupos?

Chegou a hora de hackear os hackers?

Nações ao redor do mundo já possuem capacidades ofensivas de hacking. Em janeiro de 2023, o procurador-geral dos Estados Unidos anunciou que o FBI e seus parceiros internacionais conseguiram interromper temporariamente a rede da prolífica gangue de ransomware Hive. Na verdade, eles haviam “hackeado” os hackers.

A operação, iniciada em 2022, evitou que várias organizações governamentais tivessem de pagar milhões de dólares em resgate. Em um dos casos, o FBI conseguiu interromper um ataque contra um distrito escolar do Texas e impediu que ele fizesse um pagamento de US$ 5 milhões aos cibercriminosos. Prova clara de que hackear na ofensiva funciona e podemos ver mais organizações adotando esse método nos próximos 12 meses.

Da mesma forma, após dois grandes ataques cibernéticos consecutivos contra a gigante australiana das telecomunicações Optus e o titã dos seguros Medibank, o ministro australiano da segurança cibernética prometeu “hackear os hackers”. Em dezembro de 2022, o Japão também iniciou o processo de alteração das leis para permitir operações cibernéticas ofensivas contra hackers estrangeiros.

Isso levanta a questão: se mais grupos soubessem que poderiam ser hackeados antes de lançar um ataque, eles pensariam duas vezes sobre isso?

Qual é a solução para a evolução do ransomware?

Uma maneira de evitar ataques de ransomware seria proibir as organizações de fazer pagamentos. Por exemplo, na Flórida e na Carolina do Norte, é ilegal que as agências estaduais paguem um resgate; e há a recente decisão do governo da Austrália em tornar ilegal o pagamento a cibercriminosos em relação a ataques de ransomware. No entanto, isso pode resultar em atores mal-intencionados visando especificamente organizações com menor probabilidade de lidar com longos períodos de inatividade. Hospitais, fornecedores de energia e escolas podem se tornar os alvos principais e a ameaça de prejudicar genuinamente a sociedade ou os indivíduos pode forçar essas organizações a pagar resgates.

Embora os elementos do ransomware inicial permaneçam, é inegável que os métodos e a execução evoluíram. Costumava ser sobre lucro, mas agora é muito mais do que isso. À medida que o cenário de ameaças se torna mais fragmentado e o RaaS continua a prosperar, 2023 pode ser um ano crucial na luta contra ele.

Por: Sergey Shykevich é gerente do Grupo de Inteligência de Ameaças na Check Point Software.

Veja também:

Sobre mindsecblog 2362 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Dia Mundial do Backup: 31 de março | Minuto da Segurança da Informação
  2. STJ e a importância de profissionalizar investigações corporativas | Minuto da Segurança da Informação
  3. Fortinet expande seu programa de certificação NSE | Minuto da Segurança da Informação

Deixe sua opinião!