0
0
- No terceiro trimestre de 2020, a Check Point Research viu um aumento de 50% na média diária de ataques de ransomware, em comparação com o primeiro semestre do ano
- Países com maior número de ataques de ransomware no 3º trimestre são EUA, Índia, Sri Lanka, Rússia e Turquia
- Os principais tipos de ransomware no 3º trimestre foram Maze e Ryuk
- Ryuk ransomware agora ataca 20 organizações por semana
Organizações em todo o mundo estão no meio de uma onda maciça de ataques de ransomware. Só nos últimos 3 meses, a média diária de ataques de ransomware aumentou 50%. À medida que esses ataques continuam a amadurecer tanto em frequência quanto em intensidade, seu impacto nos negócios tem crescido exponencialmente. No último mês, houve relatos sobre ataques de ransomware direcionados a um gigante de transporte marítimo,um corretor com sede nos EUA e um dos maiores fabricantes de relógios do mundo.
Reivindicando uma nova vítima a cada 10 segundos,o ransomware provou ser um método de ataque lucrativo para cibercriminosos. A Check Point Research estudou e analisou essa onda de ataques recentes, e este blog detalha características, os países-alvo, possíveis razões para a onda e dicas sobre como as organizações podem prevenir ataques de ransomware.
Ransomware no terceiro trimestre de 2020 – quais países são os mais impactados?
Nos últimos 3 meses, houve um aumento de 50% na média diária de ataques, em comparação com o primeiro semestre de 2020. Os ataques de ransomware dos EUA dobraram (~98% de aumento) nos últimos 3 meses, tornando-se o país mais #1 alvo de ransomware, seguido pela Índia, Sri Lanka, Rússia e Turquia.
Os 5 principais países afetados pelo ransomware no 3º trimestre em termos do número de ataques são:
- EUA (aumento de 98,1%)
- Índia (aumento de 39,2%)
- Sri Lanka (aumento de 436%)
- Rússia (aumento de 57,9%)
- Turquia (aumento de 32,5%)
*Todos os gráficos e estatísticas utilizados neste relatório apresentam dados detectados pelas tecnologias de Prevenção de Ameaças da Check Point, armazenados e analisados no ThreatCloud durante o terceiro trimestre de 2020.
Por que isso está acontecendo agora?
A pandemia atual forçou as organizações a fazer mudanças rápidas em suas estruturas de negócios, muitas vezes deixando lacunas em seus sistemas de TI. Essas lacunas deram aos cibercriminosos a oportunidade de explorar falhas de segurança e se infiltrar em uma rede de organizações. Os hackers criptografarão centenas de milhares de arquivos, incapacitando usuários e muitas vezes tomando redes inteiras como reféns. Em alguns casos, as organizações simplesmente preferem pagar o preço em vez de lidar com arquivos criptografados e recuperar seus sistemas de TI. Isso cria um ciclo vicioso – quanto mais esses tipos de ataques “sucedem” mais frequentemente ocorrem.
Os cibercriminosos também começaram a incorporar uma nova tática em seu manual de ransomware: extorsão dupla. No que se tornou uma tendência desde o primeiro trimestre de 2020, os atores de ameaças estão adicionando um estágio adicional aos seus ataques. Antes de criptografar os bancos de dados da vítima, os invasores extraem grandes quantidades de informações confidenciais e ameaçam publicar essas informações a menos que suas exigências de resgate sejam pagas.
Impulsionadas pelo medo, as organizações às vezes preferem pagar o ransomware imediatamente para evitar ter seus dados valiosos expostos. Recentemente, diferentes operadores de ransomware aproveitaram a pandemia atual e usaram essa tática para forçar hospitais e institutos de pesquisa médica a pagar o resgate, colocando a vida dos pacientes em perigo.
Além disso, a Emotet, depois de um hiato de 5 meses, voltou ao 1º lugar no Índice de Malware mais procurado, impactando 5% das organizações em todo o mundo. Emotet é um Trojan avançado, auto-propagador e modular. Era originalmente um Trojan bancário, mas recentemente foi usado como um distribuidor de outros malwares ou campanhas maliciosas.
As operações da Emotet vendem os detalhes de suas vítimas infectadas para distribuidores de ransomware e, como eles já estão infectados, essas vítimas são vulneráveis a mais ataques. Isso torna os ataques de ransomware ainda mais “eficazes” para o invasor, uma vez que alvos mais infectados significam mais pontos de entrada para ataques de ransomware.
Ryuk Ransomware em foco
Ao contrário do ransomware comum, que é sistematicamente distribuído através de campanhas maciças de spam e kits de exploração, o Ryuk é usado exclusivamente para ataques direcionados sob medida. Ryuk foi descoberto pela primeira vez em meados de 2018, e logo depois, a Check Point Research publicou sua primeira análise completa do ransomware que estava então mirando os Estados Unidos. Houve um aumento significativo nas atividades de Ryuk desde julho de 2020, e tem atacado cerca de 20 organizações por semana.
Ataques de Ryuk por semana em todos os setores
Houve um aumento constante no número de organizações de saúde alvo de Ryuk, e houve um aumento quase duplo no percentual de organizações de saúde sendo impactadas pelo ransomware globalmente, de 2,3% no 2º trimestre para 4% no 3º trimestre. E a saúde é a indústria número um mais visada nos EUA.
Ataques de Ryuk a organizações de saúde
Nossos dados vêm do ThreatCloud, o mecanismo de inteligência de ameaças da Check Point, que é derivado de centenas de milhões de sensores em todo o mundo, enriquecidos com motores baseados em IA e dados exclusivos de pesquisa da Check Point Research.
Prevenção do Ransomware
Então, o que as organizações podem fazer para garantir que elas sejam menos suscetíveis a ataques de ransomware? Aqui estão algumas dicas a considerar.
Boas Práticas Gerais
- Educação: Treinar os usuários sobre como identificar e evitar potenciais ataques de ransomware é crucial. Muitos dos ataques cibernéticos atuais começam com um e-mail direcionado que nem sequer contém malware, mas uma mensagem socialmente projetada que incentiva o usuário a clicar em um link malicioso. A educação do usuário é muitas vezes considerada como uma das defesas mais importantes que uma organização pode implantar.
- Backups contínuosde dados : Manter backups regulares de dados como um processo de rotina é uma prática muito importante para evitar a perda de dados e ser capaz de recuperá-los em caso de corrupção ou mau funcionamento do hardware do disco. Backups funcionais também podem ajudar as organizações a se recuperarem de ataques de ransomware.
- Patches: O patching é um componente crítico na defesa contra ataques de ransomware, pois os criminosos cibernéticos muitas vezes procurarão as mais recentes explorações descobertas nos patches disponibilizados e, em seguida, visam sistemas que ainda não estão corrigidos. É fundamental que as organizações garantam que todos os sistemas tenham os patches mais recentes aplicados a eles, pois isso reduz o número de vulnerabilidades potenciais dentro da empresa para um invasor explorar.
Melhores práticas de segurança
- Proteções de ponto final: O antivírus convencional baseado em assinatura é uma solução altamente eficiente para prevenir ataques conhecidos e deve ser definitivamente implementado em qualquer organização, pois protege contra a maioria dos ataques de malware que uma organização enfrenta.
- Proteções derede : Proteções avançadas na rede corporativa, como IPS, Rede Antivírus e Anti-Bot também são cruciais e eficientes na prevenção de ataques conhecidos. Tecnologias avançadas como o sandboxing têm a capacidade de analisar novos malwares desconhecidos, executar em tempo real, procurar sinais de que é código malicioso e, como resultado, bloqueá-lo e impedi-lo de infectar pontos finais e se espalhar para outros locais da organização. Como tal, o sandboxing é um importante mecanismo de prevenção que pode proteger contra malwares evasivos ou de zero dias, e se defender contra muitos tipos de ataques desconhecidos na organização.
A solução Anti-Ransomware da Check Point defende as organizações contra os ataques de ransomware mais sofisticados e recupera com segurança dados criptografados, garantindo a continuidade e produtividade dos negócios. O Anti-Ransomware é oferecido como parte do abrangente pacote de segurança de ponto final da Check Point, o SandBlast Agent, para fornecer prevenção de ameaças em tempo real aos pontos finais da sua organização.
FONTE: CHECKPOINT