Extorsão Quíntupla é a nova realidade do ransomware

Extorsão Quíntupla’ é a nova realidade do ransomware. O ransomware invade e rouba dados, e-mails, credenciais de funcionários e clientes, e então tenta encontrar todos os tipos de outras maneiras de extrair valor de sua empresa

No início de 2020, a comunidade de segurança cibernética começou a alertar o público sobre a última tendência do ransomware: extorsão dupla. Os extorsionários não apenas criptografariam seus dados, mas também os roubariam e ameaçariam publicá-los online.

Em breve, os invasores farão de tudo – comprometendo totalmente as vítimas, vendendo seus dados em pedaços aos maiores licitantes, minando seu poder de processamento para minerar criptomoedas, ameaçando arruinar suas reputações. Criptografia e “doxxing” (pesquisar e publicar informações privadas ou de identificação sobre um determinado indivíduo na Internet, normalmente com intenção maliciosa.) são apenas o começo, de acordo com Roger Grimes, analista de defesa baseado em dados da KnowBe4 e veterano em segurança de computador nos últimos 34 anos.

Até certo ponto, já começou. Ainda esta semana, por exemplo, foi relatado que o grupo de cibercrime Conti mudou seu modelo de negócios: em vez de realizar doxxing de dados exfiltrados, Conti está oferecendo-os a compradores interessados - então, mesmo que o resgate não seja pago, os criminosos ainda fazem um lucro.

Na verdade, extorsão dupla é um termo impróprio; é mais como uma extorsão quíntupla, disse Grimes, que acredita que estamos vivendo na era de ouro do ransomware – da perspectiva do adversário, pelo menos.

E, enquanto vivermos nesta era, será imperativo que as empresas tomem as medidas adequadas para prevenir, detectar e responder aos ataques de maneira eficaz. Com isso em mente, Grimes definiu de forma abrangente essas etapas em seu livro mais recente, “Ransomware protection playbook.”

Disponível em brochura e formatos digitais (por exemplo, Amazon Kindle), o livro de Grimes também examina o ciberseguro e as considerações legais, e faz previsões de como a ameaça do ransomware continuará a evoluir. Grimes conversou com a SC Media e explicou algumas das principais mensagens que pretende transmitir por meio de sua última publicação.

Muito tem sido escrito sobre o ransomware, pois ele continua a atormentar a comunidade empresarial. O que o livro adiciona à conversa?

Segundo Grimes. “Prevenção verdadeira. A maior parte da prevenção de ransomware é realmente sobre “Tenha um bom backup”. E isso não é prevenção, faz parte da recuperação … Não conte com uma apólice de seguro de cibersegurança … e um bom backup para salvá-lo, porque eles não contarão.”

Grimes deiz que o ransomware não é extorsão dupla e sim uma extorsão quíntupla . Quando o ransomware invade, ele está roubando não apenas seus dados e e-mails, mas também suas credenciais de funcionários e clientes, e então tenta encontrar todos os tipos de outras maneiras de extrair valor de sua empresa. Os atacantes poderiam fazer criptomineração dentro da sua empresa e muitas outras coisas que um bom backup não vai impedir.

Para Grimes você tem que parar a engenharia social, é melhor corrigir seu software, usar MFA e ter uma boa política de senha. Se você não fizer essas quatro coisas, não vai parar o ransomware.

Em seu livro Grimes tem um capítulo inteiro dedicado ao seguro cibernético – sobre o que é, o que cobre … como é quando você passa por um evento e todas as coisas que não cobre. Quase todas as vítimas de ransomware, após serem atingidas, começam a comprar todos os softwares e dispositivos que deveriam ter antes de serem atingidas. O seguro de segurança cibernética não cobre nada disso.

Para responder ao ransomware é importante ter uma abordagem estruturada: “Isso é [o que você faz] hora um, dia um. Esta é a primeira semana, esta é a segunda semana, este é o [próximo] mês e o resto da sua vida. E então vou mais longe e falo sobre como será o futuro do ransomware … Não tenho muitos superpoderes, mas um de meus superpoderes é que sou muito bom em detectar para onde as coisas estão indo. E você acha que está ruim agora? Vai ficar muito pior.” afirma Grimes.

O principal motivo do crime cibernético é que temos criminosos que não podem ser processados. Depois que aprendemos como identificar os criminosos e processá-los, isso para. Foi assim que, segundo Grimes, impedimos os assaltos a banco na década de 1920 . “Agora, a maioria das pessoas não comete assaltos a banco porque muito provavelmente você será pego, não receberá muito dinheiro e irá para a cadeia. Até que a Internet mude essa equação para ransomware e cibercriminosos, eles continuarão roubando.“

Não podemos ignira que os hackers são homens de negócios e sua organização de negócios está procurando maximizar os lucros. Então, eles estão fazendo um ótimo trabalho de extorsão, uma quantidade máxima de dinheiro, infligindo uma quantidade máxima de dor.

No futuro eles com certeza vão olhar para cada alvo não apenas como um alvo de ransomware para extorsão quíntupla. Segundo Grimes, eles vão dizer: “Tudo bem, antes de entrarmos lá, como podemos maximizar a quantidade de valor que podemos tirar dessa vítima?” Então, em vez de apenas atacar uma empresa de doces antes do Halloween – o que é apenas uma estratégia brilhante do mal eles dirão: ‘Ok, podemos instalar mineradores de criptomoeda, podemos usar seus recursos para minerar Bitcoin e coletar algum dinheiro dessa forma. E então podemos vender suas credenciais na dark web e então podemos vender informações por e-mail e dados’. Portanto, será um cenário do tipo ‘Pague-nos ou vamos liberar seus dados’ ”

Grimes cita um caso que ouviu em que um CEO estava tendo um caso com sua secretária e o atacante disse: “Você nos paga ou vamos dizer ao seu conselho de administração que você está tendo um caso com sua secretária e … não vai apenas afetar sua vida, ele pode perder o emprego.”

Se você observar a evolução natural do ransomware, verá que começou com: “Vamos apenas criptografar imediatamente”. Então foi: “Vamos em frente e criptografar mais máquinas”. Então, eles estão roubando dados em credenciais. Agora eles estão rotineiramente conduzindo ataques distribuídos de negação de serviço e você encontrará alguns que estão fazendo mineração de criptomoedas. Segundo Grimes os hackers estão percebendo que: “O que realmente possuem de maior valor é o acesso inegável as organizações e seus ativos digitais.” e pergunta será “Como podemos maximizar esse valor?

Sobre a expansão para IoT e disositivos móveis, Grimes, diz que o “malware mais comum hoje é o malware contra dispositivos como DVRs, câmeras e roteadores, onde costumava ser os programas de malware mais comuns eram contra o Windows … Já tivemos ransomware nas TVs alguns anos atrás … Então, à medida que nos tornamos mais distribuídos os invasores vão [perceber] que podem tirar um monte de telefones celulares e criar a mesma dor [como um ataque tradicional, mesmo que eles não possam] chegar ao seu data center … Parece-me que à medida que avançamos para mais IoT, conforme formos para mais dispositivos móveis, conforme formos para sistemas mais distribuídos, os hackers seguirão, seja qual for a tendência da tecnologia.”

Muitos tentam mentir, enganar ou questionar o controle dos invasores. Sobre isto Grimes diz “É incrível pensar que alguém contestaria um invasor que tem controle absoluto sobre ele ou o insultaria. Mas isso acontece, e os invasores gostam: “Boa viagem”. Ou às vezes até pioram as coisas. Talvez eles sejam apenas ransomware atacando você e agora eles começam a fazer um ataque distribuído de negação de serviço.”

Você poderia dizer “Eu tenho um bom backup.”, mas eles podem ter corrompido os seus backups ou excluíram os backups, e aí eles vão pedir o dobro e você teria que voltar ao pagamento original de que estavam falando.

Então o melhor jeito é tomar todas as medidas possíveis de prevenção, montar uma boa estratégia de backup “imune” a ransomwares pois ter um seguro e esperar para investir em proteções pode não ser a melhor estratégia.