Insights e tendências sobre ransomware 2024

Insights e tendências sobre ransomware 2024. A extorsão sempre foi um método preferido de obtenção de fundos, e sempre será.

Ransomware é uma espécie do gênero Extorsão. A extorsão sempre foi um método preferido de obtenção de fundos, e sempre será. Hoje é provavelmente mais prevalente no mundo cibernético do que no mundo físico.

Podemos aprender com sua história. Sempre existiu a nível nacional (Danegeld), a nível de gangues (raquetes de proteção) e a nível pessoal (bullying). Esta prática faz agora parte do mundo cibernético e ainda envolve Estados-nação, gangues criminosas e hackers individuais. A extorsão nunca irá desaparecer, apenas os métodos mudarão. Os criminosos irão aperfeiçoar os métodos lucrativos existentes para obter maiores lucros ou adaptá-los para acomodar novas condições.

O mesmo se aplica ao ransomware cibernético, que é fundamentalmente o roubo de dados das vítimas por meio de criptografia ou exfiltração, ou ambos. Os dados criptografados e/ou roubados são a alavanca para a extorsão cibernética.

O ransomware é suficientemente eficaz e lucrativo para continuar e aumentar. Mas será aperfeiçoado para expandir o elemento lucro e serão explorados novos métodos de extorsão. Algumas empresas já estão usando o termo mais geral Cy-X (extorsão cibernética) para cobrir a gama crescente de ameaças que se uniram em torno do termo ransomware. A extorsão é a ameaça; ransomware é apenas um método (embora atualmente o principal).

“As gangues continuarão a aumentar a aposta e a exercer maior pressão sobre as vítimas – o que inclui mais ações no estilo de ‘operações de informação’ – mais vergonha pública nas redes sociais e sites abertos, contato direto com executivos, funcionários e clientes para pressionar pagamentos, ameaças de violência – incluindo familiares”, alerta Keith Mularski, MD da EY Consulting Cybersecurity.

Matt Waxman, vice-presidente sênior e gerente geral de proteção de dados da Veritas Technologies, tem um exemplo específico da potencial evolução contínua da extorsão de ransomware. “Em 2024, esperamos que os hackers se voltem para ataques direcionados de corrupção de dados em nível de célula – código secretamente implantado no banco de dados da vítima que fica à espreita para alterar ou corromper secretamente dados específicos, mas não divulgados, caso o alvo se recuse a pagar um resgate.”

Waxman continua: “A ameaça real é que as vítimas não saberão quais dados, se houver – os hackers podem estar blefando – foram alterados ou corrompidos até que as repercussões se instalem, tornando assim todos os seus dados não confiáveis. A única solução para as vítimas é garantir que tenham cópias seguras dos seus dados, que tenham 100% de certeza de que não estão corrompidos e podem ser rapidamente restaurados.”

Desenvolvimentos em 2024

Extorsão sem criptografia

A extorsão sem criptografia não é nova, mas continuará a se expandir. É um desenvolvimento do conceito anterior de dupla extorsão – combinando primeiro a exfiltração de dados e depois a criptografia de dados. Se a criptografia não gerar a taxa de extorsão, a divulgação subsequente de dados confidenciais, causando danos à marca e possíveis multas de conformidade, poderá ser bem-sucedida.

Com menos empresas pagando um resgate de criptografia (por meio de pressão governamental, melhores possibilidades de descriptografia e restrições de seguro cibernético), os criminosos às vezes estão abandonando esse lado da extorsão.

“Devido à natureza demorada e desnecessária das operações tradicionais de ransomware, os agentes de ameaças preferirão a ‘negação de confidencialidade’ por meio de sites de vazamento à ‘negação de acesso’ por meio de criptografia”, afirma Rik Ferguson , vice-presidente de inteligência de segurança da Forescout. “O roubo e a extorsão de dados são igualmente eficientes para eles, mas sem grandes despesas de gerenciamento, sem recuperação frustrante de backup e sem codificação de módulos criptográficos.”

Também permite que os atacantes escondam melhor o ataque. “Os ataques de ransomware desaparecerão à medida que evoluem da ‘criptografia por malware’ para o ‘roubo de dados sem malware’”, explica Mark Stockley, evangelista de segurança cibernética da Malwarebytes. “Roubar dados, em vez de criptografá-los, permite que os criminosos se escondam à vista de todos, ‘vivendo da terra’ – usando ferramentas de administração legítimas que encontram nas redes que estão atacando e que não acionam a detecção de malware pelo software de segurança. Atacar sem malware transfere o fardo da detecção de software de detecção de malware para humanos que detectam anomalias.”

Uma nova variação de extorsão – que pode ser usada com criptografia ou exfiltração de dados – surgiu no final de 2023: ALPHV/BlackCat relatou o MeridianLink à SEC. “À medida que a nova decisão de divulgação da SEC entrar em vigor [15 de dezembro de 2023], exigindo que as empresas relatem incidentes ‘materiais’ de segurança cibernética dentro de quatro dias”, comenta Sean Deuby, principal tecnólogo da América do Norte da Semperis, “esperamos que essa tática se torne a norma em ataques de ransomware. A SEC terá um exército de ajudantes não tão altruístas.”

Turbo alimentado por IA

O perigo inicial de extorsão por parte da IA está menos no malware (embora eventualmente seja usado para encontrar vulnerabilidades exploráveis), mas mais no estabelecimento das bases para a entrega do malware. “A IA generativa definitivamente se tornará um fator no ransomware. Os princípios são bastante simples: dado um alvo, você coleta a lista de funcionários do LinkedIn, rastreia seus perfis e postagens e pesquisa nas redes sociais a mesma pessoa, bem como dados disponíveis publicamente por meio de um mecanismo de pesquisa”, explica Philippe Humeau, CEO. e cofundador da CrowdSec.

“Depois de ter todas as redes da maioria dos funcionários, junto com uma amostra de sua voz (podcasts), fotos (X, Instagram, LinkedIn, Meta) e vídeo (YouTube, TikTok), você terá tudo o que precisa para gerar e-mails de phishing extremamente convincentes . A próxima coisa que você sabe é que a vítima recebe uma campanha de phishing perfeitamente elaborada.” Resumindo, a IA provavelmente turbinará o phishing, e esse aumento e melhoria do phishing provavelmente turbinará o ransomware.

Não é uma certeza. Outros acreditam que os métodos existentes dos criminosos são suficientemente bem sucedidos para não exigirem o custo adicional do desenvolvimento da IA. Mas poderá chegar um ponto de inflexão futuro em que a diminuição dos custos da IA será ultrapassada pelo aumento do fracasso dos métodos existentes.

O caminho para o uso direto da IA pelo ransomware pode ser lento e incremental – talvez por meio do conceito de MPV (vítima mais promissora). A teoria é que as organizações que devem ter uma operação ininterrupta e ter dinheiro para pagar por essa operação ininterrupta tornar-se-ão as vítimas mais promissoras.

“Prevejo que os autores de ransomware encontrarão maneiras de automatizar essa determinação de ‘MPV’, tornando o ransomware capaz de determinar de forma autônoma se os critérios de MPV são atendidos; por exemplo, ‘cheguei a um hospital’, ‘posso ter acesso aos registros médicos eletrônicos?’”, sugere Robert Leong, diretor sênior e chefe de gerenciamento de produtos da HCL BigFix.

“A razão é que o envio de mensagens para comando e controle é uma das principais formas de detecção de ransomware. Dessa forma, se o ransomware puder determinar de forma autônoma onde está, em que tipo de organização está e o que criptografar, mais sucesso o ransomware terá”, continua ele. A IA poderia ser introduzida para fornecer e melhorar essa automação silenciosa.

Geopolítica e hacktivismo

Historicamente, o hacktivismo tem sido associado a ideólogos locais que protestam sobre questões morais. Amir Hirsh, chefe da Tenable OT Security, acredita que isso continuará em 2024, com hacktivistas usando ransomware para aumentar o efeito publicitário. “Os grupos hacktivistas, em particular, terão como alvo a agricultura industrial e os produtores de energia, em linha com a sua ideologia, para máxima exposição e notoriedade das suas causas”, comenta.

Ao mesmo tempo, as tensões geopolíticas extremas resultantes das guerras na Ucrânia e em Gaza aumentarão o elemento inter, em vez de intranacional, do hacktivismo. “No próximo ano”, sugere Ilia Kolochenko, arquiteto-chefe da ImmuniWeb, “devemos esperar ataques massivos e imprevisíveis de hacktivistas com motivação política contra empresas e organizações inocentes em países ou regiões específicas”.

Estes ataques serão provavelmente altamente destrutivos, visando paralisar o funcionamento de empresas que têm pouca ou nenhuma ligação com o processo político dos seus países de constituição. “A infraestrutura cibernética de hospitais, escolas e até mesmo da CNI, como instalações de abastecimento de água, pode sofrer danos duradouros e irreparáveis.”

Limpadores

Os limpadores podem estar, mas não necessariamente, associados a ransomware. Considere a versão de criptografia de dados do ransomware sem qualquer meio de descriptografia – é um limpador básico.

Esta é uma opção atraente para atacantes com motivação geopolítica (especialmente aqueles que poderiam ser rotulados como afiliados a um Estado-nação). Ele pode ser disfarçado como um ransomware fracassado – ou seja, um ataque criminoso com motivação financeira. É difícil classificar um ataque criminoso como guerra cibernética (que, além de ser destrutiva, também deve mostrar um elemento de governo versus governo). Veja O que é guerra cibernética? para uma discussão mais detalhada, e considere a falha das seguradoras em excluir o pagamento à Merck em vez do NotPetya.

WannaCry e NotPetya são bons exemplos. O WannaCry não tinha capacidade de descriptografia e o NotPetya causou destruição massiva em todo o mundo. Mas ambos foram “disfarçados” de ransomware e, embora atribuídos à Rússia, não puderam ser atribuídos a uma instrução governamental clara. O perigo está em acidentes futuros. “À medida que os Estados-nação adversários continuarem a travar guerra contra outros Estados-nação, veremos com certeza uma recorrência de coisas como WannaCry e NotPetya”, alerta Leong. “Espere que os Estados-nação adversários continuem a ter isto no seu kit de ferramentas, especialmente se as guerras quentes regionais se expandirem.”

No entanto, os limpadores são usados com cuidado pela maioria das nações adversárias. Poderiam desencadear uma guerra cibernética total – e no mundo cibernético de hoje, o princípio da dissuasão absoluta permanece. A guerra cibernética total levaria à destruição cibernética mútua e completa: assim, os limpadores usados pelas potências mundiais (OTAN, Rússia e China) são alvo de precisão dentro da zona de guerra quente ou evitados. (O Médio Oriente é uma excepção porque é principalmente regional e não global.)

Humeau tem outra razão para duvidar do uso de limpadores de para-brisa pelas grandes nações. “Não tenho certeza se eles são realmente úteis para um Estado-nação, na maioria das vezes. Você só estraga seu disfarce quando precisa aproveitar sua vantagem contra um adversário. É melhor ficar em casa, ficar quieto e usar seu acesso inicial quando precisar. Agentes inativos não são coisas do passado, mas do futuro.”

No entanto, os grupos criminosos não são dissuadidos pelas preocupações com a guerra cibernética. A crescente agressão de hacktivistas não estatais poderia facilmente levar a um aumento de limpadores em 2024. “Também estamos testemunhando um movimento em direção a novas táticas de destruição de dados, incluindo ferramentas personalizadas de roubo de dados e limpadores ativados por tempo, adicionando uma camada extra de pressão nas vítimas para negociar”, comenta Marcelo Rivero, engenheiro sênior de pesquisa de malware da Malwarebytes.

Mais limpadores em 2024? “Provavelmente”, diz Mularski. “A intenção é a força motriz – é também o fator mais imprevisível.” Tecnicamente, é claro, um limpador puro (mesmo que disfarçado de ransomware) não é ransomware: seu objetivo não é a extorsão, mas a destruição.”

Democratizado por RaaS

O ransomware como serviço (RaaS) faz parte do crescente profissionalismo do submundo do crime cibernético. Criminosos sérios e tecnicamente competentes desenvolveram uma separação de papéis. As gangues compreendem codificadores de malware separados, localizadores de acesso (usando corretores de acesso separados), operadores financeiros e profissionais de marketing. Eles se combinam para oferecer serviços de ransomware a afiliados, seja vendendo ou alugando o pacote completo de ransomware. Tem vários efeitos: ajuda a manter os verdadeiros criminosos longe dos investigadores e das autoridades policiais e permite que um número muito maior de criminosos menos qualificados realize ataques de ransomware potencialmente devastadores. Foi apelidado de ‘democratização’ do ransomware.

“Isso dependerá dos esforços de marketing dos atores da ameaça de ransomware em torno da construção de um programa de afiliados e de tornar o processo de integração de baixo atrito”, sugere Gerald Auger, consultor e professor adjunto do The Citadel (o colégio militar da Carolina do Sul). “Infelizmente, os principais agentes de ameaças de ransomware (Lockbit, Blackcat, Conti, antes de se separarem) são administrados como empresas profissionais com muitos funcionários. Conti, por exemplo, tinha mais de cem, incluindo um departamento de RH – então, se eles descobrirem o marketing para seu programa de afiliados RaaS, será uma preocupação considerável para os CISOs (e para a indústria de segurança da informação em geral).”

“O RaaS se tornará mais comum, oferecendo aos indivíduos com conhecimento técnico mínimo os meios para executar ataques de ransomware”, alerta Christian Have, CTO da Logpoint. “A automação permitirá que os Initial Access Brokers identifiquem e ofereçam ambientes mais preparados para violações. Consequentemente, haverá um aumento na frequência dos ataques, impactando organizações de todos os tamanhos, especialmente as menores com medidas de segurança cibernética inadequadas.”

É provável que o RaaS cresça em popularidade. “Continuará a expandir-se, especialmente se o mundo sofrer uma recessão económica, como muitos prevêem”, comenta Leong. “O raciocínio é que muitas pessoas perderão os seus empregos e que os menos escrupulosos verão o RaaS como uma forma de continuar a apoiar o seu estilo de vida. Como o RaaS geralmente requer apenas habilidades de nível infantil, isso será atraente para aqueles que estão desempregados e procurando ganhar dinheiro fácil, especialmente se quiserem ‘se vingar’ de seus antigos empregadores.”

Drew Perry, diretor de inovação da Ontinue, aponta o Scattered Spider como um exemplo de RaaS em ação. Acredita-se que o grupo seja afiliado da Alphv e esteja por trás do hack da MGM que foi descoberto em setembro de 2023. “Haverá um ressurgimento do hacktivismo ou de operadores de ransomware locais do Ocidente, com Scattered Spider sendo o garoto-propaganda que outros irão copiar”, alerta Perry.

“Do nosso ponto de vista”, diz Mularski, “o RaaS representa a maior parte da ameaça de extorsão – parece haver menos grupos executando operações puramente fechadas/privadas”. Ele aponta o LockBit como a operação RaaS mais difundida – com 110 vítimas registradas somente em novembro de 2023.

O próprio RaaS é apenas uma parte da operação criminosa crescente e mais geral do Crime como Serviço (CaaS). Ferguson acredita que isso pode levar a um novo X-como-serviço: o perfil da vítima como um serviço. “As afiliadas de ransomware estão se tornando mais exigentes quando se trata de seleção de vítimas, o que pode ser visto em uma variedade de técnicas de tendência – desde o redirecionamento de organizações que são conhecidas por pagar resgates até a seleção apenas de vítimas que possuem seguro contra incidentes cibernéticos”, diz ele. “Como resultado, os dados sobre potenciais vítimas serão muito procurados e criarão maior procura para este tipo de mercado.”

Dia zero

O inverso da democratização é a caça específica de grandes grupos de ransomware sem usar o método RaaS. Isso geralmente se concentra no uso de vulnerabilidades de dia zero. Em geral, o dia zero é uma arma de uso único, valiosa demais para ser dissipada por meio de afiliados.

Raj Samani, vice-presidente sênior e cientista-chefe da Rapid 7, comenta: “Observamos um número crescente de vulnerabilidades de dia zero sendo exploradas por grupos de ransomware e é improvável que essa tendência diminua”.

Stockley concorda. “Os ataques de ransomware aumentarão enormemente após a mudança para ataques de dia zero”, diz ele. Mas ele também observa que a automação (que provavelmente será auxiliada pelo tempero adicional da IA a partir de 2024) permitirá que grupos individuais cresçam sem diminuir o seu retorno de lucro através do uso de afiliados.”

“Em duas ondas de ataques este ano, a gangue de ransomware Cl0p mostrou que era possível se libertar das amarras de escalabilidade do modelo de afiliados usando ataques automatizados baseados em zero dias”, explica ele. “Anteriormente, presumia-se que o dia zero era muito complexo ou muito sofisticado para gangues de ransomware. Embora existam obstáculos significativos ao uso generalizado de zero day por gangues de ransomware, isso não pode ser descartado.”

(in)ação do governo

Além de encorajar melhores defesas cibernéticas, derrubar infra-estruturas criminosas e procurar detenções pessoais, há pouco que os governos possam fazer para prevenir a extorsão cibernética. A única coisa que impedirá a extorsão é reduzir a sua rentabilidade, e isso é impossível. Para a atual forma primária de ransomware, existem duas abordagens possíveis: tornar ilegal o pagamento de resgates e tornar o processo de pagamento (através de moedas digitais) ineficaz.

O primeiro é quase impossível. Humeau explica uma das dificuldades: “Lugares como a França deram um belo tiro no pé”, diz ele. “Depois de uma década dizendo “Não, ninguém deveria pagar, não alimente o monstro, existe agora uma linha tênue, criada pelas companhias de seguros que veem uma grande oportunidade de vender apólices que sabem que não irão realmente têm que cumprir devido a exceções específicas que foram incluídas. No entanto, para as apólices que pagam, você tem cibercriminosos que sabem o valor exato que as seguradoras estão dispostas a reembolsar, e esse é o valor que eles estão tentando extorquir agora de seus alvos.”

No entanto, nem todo mundo está pessimista em relação às ações governamentais contra o ransomware. José Araujo, CTO da Orange Cyberdefense, está otimista. “Prevemos um potencial ponto de viragem na actividade de extorsão cibernética impulsionada por políticas governamentais conjuntas… mais de 40 países membros da Iniciativa Internacional Contra Ransomware acordaram uma política conjunta declarando que os governos membros não devem pagar resgates exigidos por grupos cibercriminosos. Eles também concordaram em uma lista negra compartilhada de carteiras usadas por atores de ransomware, no compromisso de perseguir os atores responsáveis, entre outras iniciativas. Ainda não vimos o seu impacto nas estatísticas Cy-X, mas prevemos que esta cooperação poderá prejudicar a viabilidade do ecossistema Cy-X no futuro.”

Outros são menos otimistas. “Até 2024, não haverá mais legislação abrangente estadual ou federal promulgada nos EUA para proibir o pagamento de resgates”, acredita Claude Mandy, evangelista-chefe da Symmetry Systems. “Em vez disso, as organizações continuarão a ser fortemente encorajadas a não pagar resgates, e as autoridades policiais e as agências federais continuarão a visar as bolsas e organizações que facilitam o encaminhamento de pagamentos aos cibercriminosos através de sanções e medidas semelhantes, facilitadas por maiores exigências às vítimas para divulgar pagamentos de ransomware.”

A actual geopolítica global não está a ajudar os esforços governamentais. “As autoridades responsáveis pela aplicação da lei e as autoridades judiciais [não podem] colaborar em investigações transfronteiriças complexas do crime cibernético organizado”, observa Kolochenko. “Em última análise, os gangues cibernéticos operam calmamente a partir de jurisdições não extraditáveis com impunidade, beneficiando de rendimentos cada vez maiores pagos por vítimas desesperadas. Dado que, do ponto de vista económico, o ransomware é um negócio escalável e altamente rentável, provavelmente veremos a sua proliferação semelhante à hidra em todo o mundo no próximo ano.”

O resultado, alerta ele, é que, juntamente com o RaaS pré-pago, “o bom e velho ransomware pode muito bem atingir o status de pandemia cibernética global em 2024”.

No entanto, embora os governos possam não conseguir eliminar o pagamento de extorsão através de moedas digitais, as forças de mercado poderão ter sucesso. Stockley levanta a possibilidade de uma ‘singularidade’ do crime cibernético: Bitcoin cai a zero, destruindo ransomware. “A coisa mais importante que pode acontecer ao crime cibernético”, diz ele, “é o desaparecimento do Bitcoin, o que pode não ser provável, mas não está fora de questão. É necessário um esforço significativo para manter o Bitcoin funcionando e a bolha da criptomoeda estourou de verdade.”

Ele continua: “Se o Bitcoin começar a diminuir significativamente, os incentivos que mantêm a enorme infraestrutura da qual ele depende poderão entrar em colapso, o que poderá precipitar uma perda de confiança em outras criptomoedas. Apesar de uma infinidade de moedas digitais, o ransomware está firmemente ligado ao Bitcoin e provavelmente não poderia existir sem ele, ou um substituto muito semelhante. O cibercrime não desapareceria, mas entraria numa fase altamente imprevisível à medida que se reorganizasse em torno de novos modelos de negócio.”

Ameaça contínua de ransomware

A ameaça do ransomware continuará a crescer e a se expandir. É o plano de negócios por excelência para os cibercriminosos. Quando apareceu pela primeira vez, o termo passou a ser associado à criptografia de dados. Isto é um equívoco . Pagar um resgate sob ameaça é simplesmente extorsão. Ransomware é extortionware: a extorsão por meio da criptografia de dados é simplesmente um método.

Os criminosos são adaptáveis. Se um método se tornar menos lucrativo, eles modificarão a sua abordagem. Já vimos isso com o crescimento da caça aos grandes jogos, o aumento do direcionamento da TO, o aumento do RaaS e da automação de IA e uma maior concentração na exfiltração de dados, em vez de apenas na criptografia de dados.

A variação mais recente do último veio Alphv/Blackcat. Este grupo “apresentou uma queixa à SEC em nome da MeridianLink por negligenciar a divulgação de um incidente de segurança cibernética como punição por não pagar o resgate”, explica Have. Ele acredita que esta nova tática de extorsão poderá tornar-se o principal impulsionador do desenvolvimento da economia do ransomware em 2024, especialmente com a introdução do NIS2.

A extorsão continuará a crescer em 2024 e além. É a base da criminalidade. A maneira como ele é camuflado está em um estado contínuo de fluxo, e essa mudança na aparência continuará. Mas, na linguagem comum, a ameaça do ransomware continuará a piorar.

Fonte: SecurityWeek por Kevin Townsend

Veja também:

Insights e tendências sobre ransomware 2024