0
0
Os ataques de ransomware são considerados um dos tipos mais graves de ameaças que as empresas enfrentam.
Nos últimos anos, os ataques generalizados de ransomware – cujo objetivo dos cibercriminosos é utilizar malware para encriptar os dados e solicitar um resgate para os devolver – foram substituídos por ataques direcionados contra empresas e indústrias específicas. Nestas campanhas direcionadas, os cibercriminosos não só ameaçam encriptar dados, mas também publicar informações confidenciais online. Esta tendência foi observada pelos investigadores da Kaspersky numa análise recente realizada a duas conhecidas famílias de ransomware: Ragnar Locker e Egregor.
Os ataques de ransomware são considerados um dos tipos mais graves de ameaças que as empresas enfrentam. Não só podem perturbar operações comerciais críticas, como também podem levar a elevadas perdas financeiras – e, em alguns casos, podem levar à falência, devido a multas e processos judiciais resultantes da violação de leis e regulamentos. Por exemplo, estima-se que os ataques do ransomware WannaCry tenham causado mais de quatro mil milhões de dólares em perdas financeiras. Contudo, as novas campanhas de ransomware estão a modificar o seu modus operandi: ameaçam trazer a público as informações roubadas a empresas. Ragnar Locker e Egregor são duas conhecidas famílias de ransomware que praticam este novo método de extorsão.
O grupo de ransomware Ragnar Locker foi identificado pela primeira vez em 2019, mas só se tornou conhecido no primeiro semestre de 2020, quando atacou grandes organizações. Os ataques são muito seletivos e adaptados a cada vítima, e aqueles que se recusam a pagar as quantias exigidas pelos cibercriminosos vêem os seus dados confidenciais publicados na secção “Wall of Shame” do seu site de leaks. Se a vítima conversar com os atacantes e depois se recusar a pagar, esta conversa também é publicada. Os principais alvos deste grupo são empresas nos Estados Unidos em diferentes indústrias. Em julho deste ano, os membros do Ragnar Locker declararam que se tinham juntado ao grupo de ransomware Maze – uma das famílias de ransomware que mais se destacaram em 2020 – , o que significa que ambos irão colaborar e partilhar informações roubadas.
Já o Egregor é muito mais recente que o Ragnar Locker: foi descoberto pela primeira vez no passado mês de setembro. Contudo, utiliza muitas das mesmas táticas e partilha semelhanças de código com o Maze. Este malware é descarregado após uma violação de rede, e assim que os dados do alvo tenham sido roubados, dá à vítima apenas 72 horas para pagar o resgate antes que a informação roubada se torne pública. Se as vítimas se recusarem a pagar, os cibercriminosos publicam os nomes e links para descarregar os dados confidenciais da empresa no seu site de fugas de informação. O raio de ataque do Egregor é muito mais extenso do que o do Ragnar Locker. Tem atingido vítimas em toda a América do Norte, Europa e determinadas regiões da Ásia-Pacífico.
“O que estamos a ver neste momento é o aumento do ransomware 2.0. Os ataques estão a tornar-se altamente direcionados e o foco não está apenas na encriptação; em vez disso, o processo de extorsão baseia-se na publicação online de dados confidenciais. Isto coloca não só a reputação das empresas em risco, mas também dá entrada a processos judiciais se os dados publicados violarem regulamentos como o HIPAA ou o GDPR. Há mais em jogo do que apenas perdas financeiras“, comenta Dmitry Bestuzhev, Responsável pela Equipa Global de Investigação e Análise da América Latina (GReAT).
“As organizações devem começar a olhar para o ransomware como mais do que apenas um tipo de malware. De facto, muitas vezes, o ransomware é apenas a fase final de uma violação de rede. Mas no momento em que o programa de ransomware é efetivamente implementado, os cibercriminosos já realizaram um reconhecimento da rede, identificaram os dados confidenciais e filtraram-nos. Por isso, é importante que as organizações implementem as melhores práticas de cibersegurança. Identificar o ataque numa fase inicial, antes de os atacantes atingirem o seu objetivo final, pode poupar muito dinheiro” acrescenta Fedor Sinitsyn, especialista em segurança da Kaspersky.
A iniciativa “No More Ransom” já evitou o pagamento de milhões em resgates
Desde que a iniciativa No More Ransom foi lançada, há quatro anos, mais de quatro milhões de vítimas de ransomware em 188 países puderam desbloquear os seus dados, através das ferramentas gratuitas oferecidas na plataforma – e isto evitou que cerca de 600 milhões de dólares fossem parar aos bolsos dos criminosos sob a forma de resgate. Nos últimos dois anos, as ferramentas de descodificação da Kaspersky publicadas no site foram descarregadas mais de 216.000 vezes e entre as mais descarregadas estão a WildFireDecryptor e a CoinVaultDecryptor, que se concentram em ajudar as vítimas a recuperar os seus dados.
A No More Ransom foi lançada pela Polícia Nacional Holandesa, a Europol, a McAfee e a Kaspersky e já conta com 163 parceiros em todo o mundo, incluindo a Polícia Judiciária. O portal, que fornece recursos úteis às vítimas de ransomware, está atualmente disponível em 36 línguas e incluiu 28 novas ferramentas no último ano, sendo capaz de decifrar 140 tipos diferentes de infeções de ransomware.
FONTE: COMPUTERWORLD PORTUGAL