{"id":17345,"date":"2021-04-21T18:08:31","date_gmt":"2021-04-21T21:08:31","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17345"},"modified":"2022-05-05T09:01:12","modified_gmt":"2022-05-05T12:01:12","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/top5-ransomware-groups\/17345\/","title":{"rendered":"Ca\u00e7adores de corpora\u00e7\u00e3o: top 5 grupos de ransomware"},"content":{"rendered":"

Nos \u00faltimos cinco anos, o ransomware deixou de ser uma amea\u00e7a para computadores individuais e passou a representar<\/a> um s\u00e9rio perigo para as redes corporativas. Os cibercriminosos pararam de simplesmente tentar infectar o maior n\u00famero poss\u00edvel de computadores e agora t\u00eam como alvo grandes v\u00edtimas. Ataques a organiza\u00e7\u00f5es comerciais e ag\u00eancias governamentais requerem um planejamento cuidadoso, mas podem levar a recompensas da ordem de dezenas de milh\u00f5es de d\u00f3lares.<\/p>\n

Grupos de ransomware exploram a influ\u00eancia financeira das empresas, que tende a ser muito maior do que a dos usu\u00e1rios comuns. Al\u00e9m do mais, muitos grupos de ransomware modernos roubam dados antes da criptografia, adicionando a amea\u00e7a da publica\u00e7\u00e3o<\/a> como uma vantagem adicional. Para a empresa afetada, isso adiciona todos os tipos de riscos, desde danos \u00e0 reputa\u00e7\u00e3o a problemas com acionistas e multas de reguladores, que muitas vezes somam mais do que o resgate.<\/p>\n

De acordo com nossos dados, 2016 foi um ano divisor de \u00e1guas. Em apenas alguns meses, o n\u00famero de ataques cibern\u00e9ticos de ransomware em organiza\u00e7\u00f5es triplicou<\/a>: enquanto em janeiro de 2016 registramos um incidente a cada 2 minutos em m\u00e9dia, no final de setembro o intervalo havia encolhido para 40 segundos.<\/p>\n

Desde 2019, os especialistas observam regularmente ataques direcionados de uma s\u00e9rie de ransomware para grandes redes. Os pr\u00f3prios sites dos operadores de malware mostram estat\u00edsticas de ataque. Usamos esses dados para compilar uma classifica\u00e7\u00e3o dos grupos cibercriminosos mais ativos.<\/p>\n\n

1. Maze (tamb\u00e9m conhecido como ransomware ChaCha)<\/h2>\n

O ransomware Maze<\/a>, detectado pela primeira vez em 2019<\/a>, rapidamente alcan\u00e7ou o topo de sua classe de malware. Do n\u00famero total de v\u00edtimas, foi respons\u00e1vel por mais de um ter\u00e7o. O grupo por tr\u00e1s do Maze foi um dos primeiros a roubar dados antes da criptografia. Se a v\u00edtima se recusasse a pagar o resgate, os cibercriminosos amea\u00e7avam publicar os arquivos. A t\u00e9cnica se mostrou eficaz e foi posteriormente adotada por muitas outras opera\u00e7\u00f5es de ransomware, incluindo REvil e DoppelPaymer, que discutiremos a seguir.<\/p>\n

Em outra inova\u00e7\u00e3o, os cibercriminosos come\u00e7aram a relatar seus ataques \u00e0 m\u00eddia. No final de 2019, o grupo Maze contou \u00e0 Bleeping Computer<\/a> sobre a invas\u00e3o na empresa Allied Universal, anexando alguns dos arquivos roubados como prova. Em suas conversas por e-mail com os editores do site, o grupo amea\u00e7ou enviar spam dos servidores da Allied Universal e, posteriormente, publicou os dados confidenciais da empresa invadida no f\u00f3rum do Bleeping Computer.<\/p>\n

Os ataques do Maze continuaram at\u00e9 setembro de 2020, quando o grupo come\u00e7ou a encerrar<\/a> suas opera\u00e7\u00f5es, embora n\u00e3o antes que v\u00e1rias corpora\u00e7\u00f5es internacionais, um banco estatal na Am\u00e9rica Latina e o sistema de informa\u00e7\u00f5es de uma cidade dos EUA j\u00e1 tivessem sofrido com suas atividades. Em cada um desses casos, os operadores do Maze exigiram v\u00e1rios milh\u00f5es de d\u00f3lares das v\u00edtimas.<\/p>\n

2. Conti (tamb\u00e9m conhecido como ransomware IOCP)<\/h2>\n

O Conti apareceu no final de 2019 e foi muito ativo ao longo de 2020, respondendo por mais de 13% de todas as v\u00edtimas de ransomware durante este per\u00edodo. Seus criadores permanecem ativos.<\/p>\n

Um detalhe interessante sobre os ataques Conti \u00e9 que os cibercriminosos oferecem \u00e0 empresa-alvo ajuda com seguran\u00e7a em troca de concordar em pagar, dizendo<\/a> \u201cVoc\u00ea receber\u00e1 instru\u00e7\u00f5es sobre como fechar o buraco na seguran\u00e7a e como evitar tais problemas no futuro + recomendaremos tamb\u00e9m um software especial que causa mais problemas para os hackers. \u201d<\/p>\n

Tal como acontece com o Maze, o ransomware n\u00e3o apenas criptografa, mas tamb\u00e9m envia c\u00f3pias de arquivos de sistemas hackeados para operadores de ransomware. Os cibercriminosos ent\u00e3o amea\u00e7am publicar as informa\u00e7\u00f5es online se a v\u00edtima n\u00e3o cumprir suas demandas. Entre os ataques de Conti mais not\u00f3rios est\u00e1 a invas\u00e3o de uma escola<\/a> nos Estados Unidos, seguida por um pedido de resgate de U$ 40 milh\u00f5es. (O governo disse que estava disposto a pagar U$ 500 mil, mas n\u00e3o negociaria 80 vezes esse valor.)<\/p>\n\n

3. REvil (tamb\u00e9m conhecido como Sodin, ransomware Sodinokibi)<\/h2>\n

Os primeiros ataques de ransomware REvil foram detectados no in\u00edcio de 2019 na \u00c1sia. O malware rapidamente<\/a> atraiu a aten\u00e7\u00e3o de especialistas por suas proezas t\u00e9cnicas, como o uso de fun\u00e7\u00f5es leg\u00edtimas da CPU para contornar os sistemas de seguran\u00e7a. Al\u00e9m disso, seu c\u00f3digo continha sinais caracter\u00edsticos de ter sido criado para loca\u00e7\u00e3o.<\/p>\n

Nas estat\u00edsticas totais, as v\u00edtimas de REVIL representam 11%. O malware afetou quase 20 setores de neg\u00f3cios. A maior parte das v\u00edtimas recai sobre Engenharia e Manufatura (30%), seguida por Finan\u00e7as (14%), Servi\u00e7os Profissionais e ao Consumidor (9%), Jur\u00eddico (7%) e TI e Telecomunica\u00e7\u00f5es (7%). A \u00faltima categoria foi respons\u00e1vel por um dos ataques de ransomware de grande import\u00e2ncia de 2019, quando os cibercriminosos invadiram v\u00e1rios MSPs e distribu\u00edram Sodinokibi entre seus clientes.<\/p>\n

O grupo atualmente det\u00e9m o recorde da maior demanda de resgate j\u00e1 conhecida: U$ 50 milh\u00f5es da Acer em mar\u00e7o de 2021<\/a>.<\/p>\n

4. Netwalker (tamb\u00e9m conhecido como ransomware Mailto)<\/h2>\n

Do total de v\u00edtimas, o Netwalker foi respons\u00e1vel por mais de 10%. Entre seus alvos est\u00e3o gigantes da log\u00edstica, grupos industriais, corpora\u00e7\u00f5es de energia e outras grandes organiza\u00e7\u00f5es. No espa\u00e7o de apenas alguns meses em 2020, os cibercriminosos arrecadaram mais de U$ 25 milh\u00f5es.<\/p>\n

Seus criadores parecem determinados a levar o ransomware para as massas. Eles se ofereceram para alugar o Netwalker para golpistas solit\u00e1rios em troca de uma fatia dos lucros do ataque. De acordo com a Bleeping Computer, a parcela do distribuidor de malware pode chegar a 70% do resgate, embora tais esquemas normalmente paguem aos afiliados muito menos.<\/p>\n

Como prova de sua inten\u00e7\u00e3o, os cibercriminosos publicaram capturas de tela de grandes transfer\u00eancias de dinheiro. Para tornar o processo de loca\u00e7\u00e3o o mais f\u00e1cil poss\u00edvel, criaram um site para postar os dados roubados assim que terminasse o per\u00edodo para o resgate.<\/p>\n

Em janeiro de 2021, a pol\u00edcia apreendeu recursos da dark web da Netwalker e acusou o canadense Sebastien Vachon-Desjardins de obter mais de U$ 27,6 milh\u00f5es com a atividade de extors\u00e3o. Vachon-Desjardins estava encarregado de encontrar v\u00edtimas, invadir suas redes e implantar o Netwalker em seus sistemas. A rea\u00e7\u00e3o da lei efetivamente matou Netwalker.<\/p>\n

5. Ransomware DoppelPaymer<\/h2>\n

O \u00faltimo vil\u00e3o da nossa rodada \u00e9 o DoppelPaymer, ransomware cujas v\u00edtimas representam cerca de 9% no total. Seus criadores tamb\u00e9m deixaram sua marca com outros malwares, incluindo o Trojan banc\u00e1rio Dridex e o agora extinto BitPaymer (tamb\u00e9m conhecido como FriedEx) ransomware, considerado uma vers\u00e3o anterior<\/a> do DopplePaymer. Portanto, o n\u00famero total de v\u00edtimas desse grupo \u00e9, de fato, muito maior.<\/p>\n

As organiza\u00e7\u00f5es comerciais atingidas pela DoppelPaymer incluem fabricantes de eletr\u00f4nicos e autom\u00f3veis, bem como uma grande empresa petrol\u00edfera latino-americana. A DoppelPaymer frequentemente visa organiza\u00e7\u00f5es governamentais em todo o mundo, incluindo servi\u00e7os de sa\u00fade, emerg\u00eancia e educa\u00e7\u00e3o. O grupo tamb\u00e9m ganhou as manchetes depois de publicar informa\u00e7\u00f5es eleitorais roubadas do condado de Hall, Ge\u00f3rgia, e receber U$ 500.000 do condado de Delaware, Pensilv\u00e2nia, ambos nos Estados Unidos.<\/p>\n

Os ataques da DoppelPaymer continuam at\u00e9 hoje: em fevereiro deste ano, um grupo de pesquisa europeu anunciou que havia sido hackeado.<\/p>\n\n

M\u00e9todos de ataque direcionados<\/h2>\n

Todo ataque direcionado a uma grande empresa \u00e9 o resultado de um longo processo de localiza\u00e7\u00e3o de vulnerabilidades na infraestrutura, elabora\u00e7\u00e3o de um cen\u00e1rio e sele\u00e7\u00e3o de ferramentas. Em seguida, ocorre a penetra\u00e7\u00e3o, espalhando malware por toda a infraestrutura corporativa. Os cibercriminosos \u00e0s vezes permanecem dentro de uma rede corporativa por v\u00e1rios meses antes de criptografar arquivos e emitir uma solicita\u00e7\u00e3o.<\/p>\n

Os principais caminhos para a infraestrutura s\u00e3o por meio de:<\/p>\n

\u25cf Conex\u00f5es de acesso remoto mal protegidas. <\/strong> As conex\u00f5es RDP (Remote Desktop Protocol, sigla em ingl\u00eas) vulner\u00e1veis s\u00e3o um meio t\u00e3o comum de distribuir malware que grupos no mercado negro oferecem servi\u00e7os<\/a> para explor\u00e1-los. Quando grande parte do mundo mudou para o trabalho remoto, o n\u00famero desses ataques disparou. Este \u00e9 o modus operandi do Ryuk, REvil e outros tipos de ransomware;<\/p>\n

\u25cf Vulnerabilidades de aplicativos de servidor. <\/strong> Os ataques a side-server softwares fornecem aos cibercriminosos acesso aos dados mais confidenciais. Um exemplo recente aconteceu em mar\u00e7o, quando o ransomware DearCry atacou por meio de uma vulnerabilidade de dia zero no Microsoft Exchange. O side-server software com prote\u00e7\u00e3o insuficiente pode servir como um ponto de entrada para um ataque direcionado. Problemas de seguran\u00e7a tamb\u00e9m surgem em servidores VPN corporativos, alguns exemplos dos quais vimos no ano passado;<\/p>\n

\u25cf Ataques de botnet. <\/strong> Para atrair ainda mais v\u00edtimas e aumentar os lucros, os operadores de ransomware usam botnets<\/a>. Operadores de rede zumbis fornecem a outros cibercriminosos acesso a milhares de dispositivos comprometidos, que procuram automaticamente sistemas vulner\u00e1veis e baixam ransomware neles. \u00c9 assim que, por exemplo, o ransomware Conti e DoppelPaymer se espalharam;<\/p>\n

\u25cf Ataques \u00e0 cadeia de suprimento <\/strong> O melhor exemplo dessa amea\u00e7a \u00e9 o REvil: o grupo comprometeu um provedor MSP e ent\u00e3o distribuiu ransomware para as redes de seus clientes;<\/p>\n

\u25cf Anexos maliciosos. <\/strong> E-mails contendo macros maliciosas em documentos do Word anexados ainda s\u00e3o uma op\u00e7\u00e3o popular para entrada de malware. Um de nossos 5 principais vil\u00f5es, o NetWalker, usou anexos maliciosos para prender as v\u00edtimas \u2013 seus operadores enviaram correspond\u00eancias com \u201cCOVID-19\u201d na linha de assunto.<\/p>\n

Como as empresas podem ficar protegidas<\/h2>\n

\u25cf Treine funcion\u00e1rios em higiene digital<\/a>. Eles devem saber o que \u00e9 phishing<\/a>, nunca clicar em links em e-mails suspeitos ou baixar arquivos de sites duvidosos e como criar, lembrar e proteger senhas fortes. Realizar treinamentos regulares em seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o apenas para minimizar o risco de incidentes, mas tamb\u00e9m para mitigar os danos caso os invasores ainda consigam penetrar na rede;<\/p>\n

\u25cf Atualize regularmente todos os sistemas operacionais e aplicativos para garantir prote\u00e7\u00e3o m\u00e1xima contra ataques por meio de vulnerabilidades de software conhecidas. Cuide da atualiza\u00e7\u00e3o do software do lado do cliente e do lado do servidor;<\/p>\n

\u25cf Realize auditorias de seguran\u00e7a, verifique a seguran\u00e7a do equipamento e controle quais portas est\u00e3o abertas<\/a> e acess\u00edveis na Internet. Use uma conex\u00e3o segura para trabalho remoto, mas lembre-se de que mesmo VPNs podem ser vulner\u00e1veis;<\/p>\n

\u25cf Crie backups de dados corporativos. Ter backups ajuda n\u00e3o apenas a reduzir o tempo de inatividade e restaurar processos de neg\u00f3cios mais rapidamente no caso de um ataque de ransomware, mas tamb\u00e9m a se recuperar de eventos mais mon\u00f3tonos, como mau funcionamento de hardware;<\/p>\n

\u25cf Use uma solu\u00e7\u00e3o de seguran\u00e7a profissional<\/a> que emprega an\u00e1lises comportamentais e tecnologias anti-ransomware;<\/p>\n

\u25cf Implante um sistema de seguran\u00e7a da informa\u00e7\u00e3o que seja capaz de reconhecer anomalias na infraestrutura de rede, como tentativas de sondar portas ou solicita\u00e7\u00f5es fora do padr\u00e3o de acesso a sistemas . Contrate experi\u00eancia externa<\/a> se voc\u00ea n\u00e3o tiver especialistas capazes de monitorar a rede.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Os grupos mais ativos visando empresas, criptografando dados e exigindo resgate.<\/p>\n","protected":false},"author":2706,"featured_media":17346,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[218,71,1489,1651,83],"class_list":{"0":"post-17345","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-ameacas","11":"tag-apt","12":"tag-ataques-direcionados","13":"tag-cryptors","14":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/top5-ransomware-groups\/17345\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/top5-ransomware-groups\/22771\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/top5-ransomware-groups\/18253\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/top5-ransomware-groups\/24615\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/top5-ransomware-groups\/22643\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/top5-ransomware-groups\/21716\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/top5-ransomware-groups\/25126\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/top5-ransomware-groups\/24442\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/top5-ransomware-groups\/30549\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/top5-ransomware-groups\/9564\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/top5-ransomware-groups\/39426\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/top5-ransomware-groups\/16824\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/top5-ransomware-groups\/14738\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/top5-ransomware-groups\/26560\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/top5-ransomware-groups\/30592\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/top5-ransomware-groups\/26942\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/top5-ransomware-groups\/23807\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/top5-ransomware-groups\/29146\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/top5-ransomware-groups\/28944\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17345"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17345\/revisions"}],"predecessor-version":[{"id":17347,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17345\/revisions\/17347"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17346"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}