KLSEC
Desde meados de 2020, uma ciberameaça ganhou destaque: o ransomware. Constantemente, há notícias sobre empresas que ficaram paralisadas por um ataque hacker, porém dados da Kaspersky mostram queda de 56% nos bloqueios destes ataques na América Latina. Nossos especialistas afirmam que este cenário já era esperado e destacam que os casos atuais são mais avançados, mas possíveis de serem evitados.
Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina, explica que a diferença está na maneira como os cibercriminosos atuam hoje em dia. “O WannaCry, grande ataque registrado em 2017, foi disseminado de forma massiva e atingiu muitas empresas que não estavam com seus softwares atualizados, mas as vítimas eram definidas pelo acaso. Hoje, a primeira coisa que um grupo faz é escolher sua vítima, o ataque acontece depois disso. Por isso, chamamos os ataques recentes de direcionados“, explica.
Esta nova postura seletiva se refletiu em nossos dados. Em 2020, foram bloqueados 2,9 milhões de ataques de ransomware na América Latina entre janeiro e agosto – média de 515 tentativas por hora. Já nos oito primeiros meses de 2021, foram 1,3 milhão – média horária de 227 tentativas. Na comparação de 2020 e 2021, queda de 56% na atividade de ransomware na região.
Nosso especialista destaca ainda países que estão na contramão da tendência e apresentaram crescimento nos ataques de ransomware neste ano, como Guatemala, que registro um crescimento de +963%, República Dominicana (+461%), Colômbia (+316%) e Argentina (+20%). Em relação aos países com mais detecções, a lista continua sendo liderada pelo Brasil, com mais da metade das detecções (64%). Em seguida, estão México (10%), e Equador (5%).
“Diferentemente das campanhas massivas que precisam ter alcance geográfico e diversidade de famílias para atingir uma grande quantidade de empresas, os ataques dirigidos podem chegar a qualquer organização. E esta mudança na operação criminosa fica claro quando analisamos as detecções de países como República Dominicana, Guatemala e Panamá”, afirma Bestuzhev.
Nossos especialistas ainda analisaram o modus operandis destes ataques direcionados e listaram as principais ações que as empresas devem adotar para evitar serem vítimas desta ameaça:
• Proteja a superfície de ataque: os principais vetores de ataque são o e-mail, sites de terceiros, portas abertas e expostas, vulnerabilidades de softwares, principalmente nas tecnologias de conexão remota (RDP) e de VPN. Além disso, para iniciar a infecção, os criminosos evitam as máquinas virtuais, pois o risco deles serem descobertos é maior neste ambiente. Por fim, os malware usados para iniciar a infecção usa técnicas de ofuscação e poucas soluções de segurança conseguem detectá-los. “As empresas precisam analisar melhor a solução de segurança que usam. Técnicas de ofuscação não é algo novo, mas nossa análise mostra como as empresas estão vulneráveis”, afirma Marc Rivero, analista de segurança do GReAT.
• Dificulte as movimentações laterais: uma vez que os criminosos conseguem acessar a rede corporativa (houve sucesso na infecção inicial), o novo objetivo é ampliar o acesso aos sistemas corporativos e adquirir privilégios de administrador. Para isso, usam trojans para roubar credenciais e ferramentas legítimas, como o Power Shell. “Para dificultar a evolução do ataque, recomendamos que as empresas usem tokens como segundo fato de autenticação e desabilitem o uso do Power Shell para usuários que não precisam. Caso consigam estes privilégios, podem executar o processo de ciframento das informações de forma muito rápida”, ressalta Rivero.
• Ecossistema do ransomware: a escolha das vítimas começa com a avaliação dos criminosos em relação sobre a probabilidade de receberem o resgate – o valor é definido com uma porcentagem em cima do faturamento da empresa. Além disso, os criminosos trabalham no modelo de afiliação – em que o desenvolvedor do ransomware paga os operadores com base no sucesso e na quantidade de vítimas.
Dicas para empresas
• Mantenha todos os programas e sistemas operacionais atualizados com a última versão. E não adote software piratas, pois a economia não justifica a perda econômica gerada por um ciberincidente.
• Ofereça treinamentos de conscientização de segurança, principalmente para explicar aos funcionários os riscos de abrir links, sites e arquivos anexos suspeitos a partir de equipamentos corporativos, além de recomendar a criação de senhas complexas e diferenciadas.
• Imponha o uso de uma conexão segura (com o uso de uma VPN) para acessar remotamente qualquer recurso da empresa.
• Tenha uma solução de segurança de qualidade configurada para detectar comportamentos suspeitos, e que permita a reversão automática de arquivos – estas são tecnologias de proteção específicas para o combate ao ransomware.
• Faça cópias de segurança (backups) de seus dados, com cópias off-line e em serviços de nuvem de qualidade para evitar que elas também sejam criptografadas.
Dicas