Não é segredo que o ransomware está se tornando rapidamente a ameaça mais perigosa para as organizações. Houve um aumento dramático nos ataques de ransomware, em grande parte devido à pandemia. Globalmente, os ataques de ransomware aumentaram mais de 60% em 2020 e 158% na América do Norte, com o FBI recebendo 20% mais reclamações de ransomware. No primeiro semestre de 2021, os ataques de ransomware aumentaram 151% em comparação com o mesmo período do ano passado e em 2022 o crescimento foi de 145% em comparação com o mesmo período em 2021.
Uma das razões pelas quais os ataques de ransomware se tornaram tão prolíficos foi devido ao surgimento do RaaS, ou Ransomware as a Service. Isso se refere a uma mudança na forma como as gangues de ransomware realizam ataques e até mesmo como o ransomware é implantado nas redes, aumentando a chance de sucesso.
Vamos detalhar esse novo desenvolvimento de ransomware e dar dicas sobre como você pode se defender melhor.
Como o ransomware costumava funcionar
Os ataques do tipo ransomware foram amplamente disponibilizados por meio de kits de exploração – software que pode ser adquirido por meio de fóruns de hackers e na Dark Web. O ransomware Hermes é um bom exemplo. Os kits de exploração contêm malwares, rookits e ransomware, geralmente embalados em uma forma de vulnerabilidade de exploração que permite que o malware infecte uma rede. Isso permite que o comprador tente infectar organizações com o malware, já que a organização não corrigiu a vulnerabilidade associada, mas os hackers também podem aproveitar o phishing ou outros tipos de ataques para plantar o código malicioso.
Dependendo do kit de exploração, um hacker pode comprar, enviar um ataque de phishing contendo o ransomware embarcado em um arquivo malicioso e colher as recompensas de quem baixou o arquivo. No entanto, essa forma de ransomware diminuiu amplamente devido à falta de eficácia.
O antigo modelo de enviar e-mails de phishing de spam com a esperança de fazer um indivíduo baixar um anexo malicioso não funcionava com tanta frequência. Anti-phishing, AV, detecção de malware, filtros de spam podem interromper esse tipo de ataque de ransomware em várias etapas da cadeia de ataque.
Mesmo contra um ransomware como o Hermes, ter arquivos de backup para restraturação do ambiente é uma maneira muito eficiente para lidar com o ataque do ransomware e se livrar do pagamento do resgate.
E como o ransomware estava essencialmente disponível para qualquer comprador, os pesquisadores de segurança podiam desenvolver chaves de descriptografia que poderiam liberar as vítimas do ransomware sem que elas tivessem que pagar aos invasores, forçando os desenvolvedores do ransomware a atualizá-los continuamente.
Isso significava que os ataques de ransomware não eram tão eficazes - os hackers precisavam encontrar outra maneira.
Ransomware como serviço, uma nova abordagem
Os grupos de ransomware mais perigosos decidiram privatizar suas estratégias de ataques de forma mais eficaz e decidiram dar um passo adiante. Em vez de vendê-lo e permitir que maus atores os usem livremente, eles decidiram licenciar o ransomware, dividir o custo e aproveitar sua própria experiência como serviço.
Isso significava que qualquer pessoa pode essencialmente terceirizar completamente os serviços de um grupo de hackers de ransomware – uma grande mudança na forma como os ataques de ransomware eram realizados.
Em vez de aproveitá-los em ataques de phishing e spam, que são muito menos eficazes, os grupos de hackers de ransomware se infiltram nas organizações-alvo ou implantam o ransomware em alvos nos quais os agentes mal-intencionados já encontraram o caminho.
Isso oferece aos invasores de ransomware duas vantagens:
A organização já está comprometida:
Estes não são ataques tradicionais. São ataques muito mais direcionados que infectam uma organização já comprometida, aumentando muito as chances de sucesso. E como os agentes maliciosos já estão no ambiente de uma empresa, o ransomware tem maior probabilidade de afetar uma parte maior da rede da organização.
Não há chave de descriptografia prontamente disponível:
A segurança cibernética depende das informações. O fato de o ransomware estar sendo aproveitado em uma escala tão ampla tornou mais possível para os pesquisadores de segurança desenvolver chaves de descriptografia. No entanto, o ransomware não está disponível e é usado apenas internamente contra organizações, dificultando a criação de chaves de descriptografia.
O ransomware Ryuk é um bom exemplo disso. Licenciado apenas pelo grupo de hackers WIZARD SPIDER, o código do ransomware compartilha muitos pontos em comum com o Hermes, mas visa apenas grandes empresas. E como não o torna amplamente disponível para compra, ele gera atributos específicos da vítima para cada ataque, tornando muito mais difícil desenvolver uma chave de descriptografia para ele.
RaaS provavelmente se tornará o novo normal
Infelizmente, esse novo método de ataque provavelmente permanecerá. Este novo método é altamente lucrativo para os atacantes. O hacker malicioso que procura infectar uma organização tem muito mais probabilidade de ter sucesso e a gangue do ransomware pode sofrer um corte sem fazer muito trabalho.
Como resultado, já vimos gangues de ransomware adotarem um modelo de cartel e trabalharem com grupos menores de ransomware, construindo uma rede organizada de criminosos de ransomware. O sucesso observado desse modelo também é o motivo pelo qual este método provavelmente permanecerá e aumentará no futuro próximo.
É em parte por isso que os ataques de ransomware aumentaram tanto e porque estamos vendo pagamentos cada vez maiores. O pagamento médio de ransomware aumentou drasticamente para mais de US$ 300 mil em 2020, um aumento de 171%.
As organizações ainda podem se proteger contra RaaS
Apesar desses novos métodos de ataques, isso não significa que as organizações sejam impotentes contra esses ataques. Felizmente, as organizações podem aproveitar as ferramentas, processos e soluções existentes para se proteger contra esta nova forma de ataques ransomwares.
Aqui estão algumas áreas que você deve priorizar.
Não interrompa o fortalecimento com as defesas tradicionais contra ransowmares
Filtros de spam, antivírus e ferramentas de detecção e eliminação de antimalware são eficazes o suficiente para forçar os criminosos a adotar outros métodos e podem até impedir que o ransomware seja executado em seu ambiente. Essas ferramentas, bem como os programas de treinamento de conscientização de segurança, ainda devem ser usados e priorizados.
Tenha sempre backups externos
Se você puder fazer backup de seus arquivos ou reverter seu ambiente para um estágio anterior à infecção por ransomware, não precisará pagar seu resgate para iniciar o processo de recuperação. Certifique-se de que seus backups estejam completamente desconectados da rede principal para evitar infecções, ou seja, mantenha uma cópia fora da empresa e sem conexão alguma com a sua rede e recursos corporativos.
Invista em ferramentas de monitoramento e detecção
O precursor desses novos ataques de ransomware é a infiltração. Se você puder detectar um indivíduo não autorizado entrando em sua rede, poderá evitar o ataque e potencialmente expulsá-lo de seu ambiente antes que ele cause algum dano. Procure por serviços especializados para fortalecer suas defesas, serviços como SOC, MSS, MDR, dentre outros.
Faça a segmentação da sua rede sempre que possível
Isso sempre funcionou contra ransomware e ainda funciona. Se você tiver um sistema robusto de segmentação de rede, poderá impedir que o ransomware infecte seus ativos mais críticos e por consequênica o seu negócio, impedindo ainda mais ameaças de extorsão ou vazamento de dados.
Tenha um plano de resposta pronto
As organizações não podem se dar ao luxo de não estarem preparadas para um ataque de ransomware. Você deve ter um plano de resposta a incidentes pronto e pode até querer empregar um parceiro de resposta ou investigação forense na retaguarda que possa ajudá-los caso sejam comprometidos. Diante de qualquer ataque de ransomware, a velocidade de ação é fundamental.
A ascensão do RaaS é bastante preocupante, mas os princípios, métodos, ferramentas e sistemas de segurança, juntos podem fornecem recursos robustos e suficientes para o fortalecimento de sua defesa, detecção e resposta aos incidentes.
Não negligencie essas prioridades importantes e considere alavancar parceiros que possam ajudar no lado do monitoramento, detecção e resposta.
A ISTI | Endpoint Security está a sua disposição para fortalecer as suas defesas e ser o seu parceiro em proteção avançada.
Comments