Ataques de ransomware direcionados crescem 700%

Ransomware tornou-se desafio para as organizações. Antigamente, as campanhas eram massivas, mas hoje visam empresas e órgãos públicos selecionados.

O ransomware tornou-se um grande desafio para as organizações. Antigamente, as campanhas eram massivas, mas hoje visam empresas e órgãos públicos selecionados e previamente escolhem os alvos na intenção de obter chance maior de sucesso. Para ajudar a entender como o ecossistema de ransomware opera e como combatê-lo, nossos pesquisadores se infiltraram em fóruns da darknet e analisaram em profundidade a atuação de grupos como REvil, Babuk e DarkSide para identificar suas táticas.

Ao contrário do que muitos acreditavam, estes ataques não são realizados por gangues. O atual ecossistema do ransomware se profissionalizou e é composto por muitos participantes, tendo até quem se especialize em determinada função. Há quem trabalhe com o desenvolvimento do malware, os donos das redes robôs (botmasters) que automatizam o processo de infecção, quem vende acesso às redes corporativas e há os operadores do ransomware – e cada um deles presta serviços uns aos outros.

Esses criminosos se encontram em grupos especializados na darknet para realizar as negociações, onde é possível encontrar anúncios com atualização periódica. Este tipo de envolvimento indica que existe uma parceria entre o operador do grupo de ransomware e seus afiliados – sendo que o operador fica com 20%-40% dos lucros enquanto os 60-80% restantes são divididos com os afiliados.

Exemplo de ofertas listando condições de pagamento da "parceria"

Exemplo de ofertas listando condições de pagamento da “parceria”

 

Nosso relatório destaca que, entre 2019 e 2020, a quantidade de clientes que sofreram tentativas de ataques de ransomware direcionado aumentou 767%. Quanto maior o tamanho da empresa, mais frequente é a tentativa de ataque, já que esta operação é sofisticada e pede resgate maior. Os setores mais visados são o industrial, as agências governamentais e organizações de saúde.

Enquanto os ataques direcionados crescem em todo o mundo, notamos queda de 29% no número total de usuários afetados pelas demais famílias de ransomware. Apesar do declínio, existe ainda um ataque popular: o WannaCry, ainda em circulação. O trojan responsável pela maior epidemia de ransomware ainda representa 16% das detecções realizadas em 2020.

“Há grande transformação na forma que os grupos de ransomware operam – e o único motivo para essa mudança é o lucro. Atualmente, estes cibercriminosos têm muito dinheiro para financiar o trabalho de reconhecimento prévio, realizado nas redes das potenciais vítimas. É um negócio muito lucrativo, ao ponto de poder dividi-lo entre parceiros e afiliados. Para diminuir a quantidade de ataques, precisamos interromper o fluxo financeiro desse ecossistema. A única maneira de fazer isso é não pagar o resgate”, destaca Fabio Assolini, analista sênior da Kaspersky no Brasil.

Uma dessas análises detalhadas dos grupos de ransomware feita por nossos especialistas permitiu listar cinco exemplos claros de como os ataques de ransomware se renovaram, tornando-se mais direcionados e igualmente perigosos:

• Uso da imprensa para informar os ataques: o Darkside, por exemplo, faz contato com a imprensa ativamente. O site do grupo parece uma central de mídia organizada, para permitir que jornalistas façam perguntas e recebam informações exclusivas dos ataques, bem como possibilitando que saibam quando os próximos casos serão publicados. Na verdade, o objetivo do grupo é alcançar maior repercussão para cobrar um pagamento maior.

Site do Darkside com espaço para jornalistas

Site do Darkside com área para jornalistas

 

• Parcerias com empresas terceirizadas de descriptografia: os grupos de ransomware têm colaborado com empresas que prestam esse tipo de serviço, evidenciando a metodologia, já que muitas das vítimas são proibidas de entrar em negociações com os cibercriminosos. Esse método criou uma demanda para esses intermediários, que oferecem serviços de descriptografia de dados.

• Doações para a caridade: o ransomware Darkside, por exemplo, diz realizar doações de parte de sua renda para instituições beneficentes. Assim, mostram para as pessoas que não querem financiar o cibercrime e que uma parcela do dinheiro das vítimas vai para uma boa causa. No entanto, vale lembrar que algumas instituições beneficentes são proibidas de aceitar dinheiro ilícito, onde esses pagamentos ficariam congelados.

• “Business analytics”: os cibercriminosos agora analisam cuidadosamente os dados roubados e o mercado em que as vítimas atuam. Antes de publicar informações, estudam os contratos da empresa e identificam clientes, parceiros e concorrentes conhecidos. O principal objetivo é maximizar os prejuízos da vítima para intimidá-la e aumentar as chances de receber o valor do resgate.

• Declaração de princípios éticos: o ransomware Darkside diz possuir seu próprio código de ética, assim como as grandes corporações reais. O grupo alega nunca atacar empresas médicas, serviços funerários, instituições educacionais, organizações sem fins lucrativos ou empresas do governo, porém sabemos que nem sempre essas regras são respeitadas.

Dicas para empresas se protegerem do ransomware

• Instale aplicativos somente obtidos de fontes confiáveis por sites oficiais;

• Realize backup frequentemente. Lembre-se de armazenar as cópias em um local físico e também na nuvem (cloud) para aumentar sua confiabilidade. Certifique-se de poder acessá-las rapidamente em uma emergência.

• Treine os funcionários para que tenham uma consciência sobre as boas práticas de cibersegurança.

• Instale correções de segurança assim que estiverem disponíveis. Também faça atualizações dos sistemas operacionais e programas para eliminar vulnerabilidades recentes.

• Realize auditoria de cibersegurança em sua rede e corrija os pontos fracos descobertos no perímetro ou dentro da rede.

• Ative a proteção contra ransomware em todos os endpoints. A ferramenta Kaspersky Anti-ransomware Tool é gratuita e blinda os computadores e servidores destes ataques tipo de ameaça. Ela também protege vulnerabilidades e é compatível com as soluções de segurança já instaladas.

• Lembre-se de que o ataque de ransomware é um crime. Se você for vítima, não pague o resgate – denuncie o incidente para as autoridades. Tente encontrar uma ferramenta desencriptar seus arquivos, disponíveis em nosso site “No More Ransom“.

Dicas