0
0
Na sexta-feira indo para o fim de semana do Memorial Day este ano, foi a gigante do processamento de carne JBS. Na sexta-feira antes de 4 de julho, era a empresa de software de gerenciamento de TI Kaseya e, por extensão, mais de mil empresas de tamanho variável. Resta saber se o Dia do Trabalho também verá um colapso de ransomware de alto nível, mas uma coisa é clara: os hackers adoram feriados.
Realmente, hackers de ransomware também adoram fins de semana regulares. Mas um longo? Quando todo mundo está se divertindo com a família e amigos e evitando cuidadosamente qualquer coisa remotamente relacionada ao escritório? Essa é a coisa boa. E embora a tendência não seja nova, um aviso conjunto emitido esta semana pelo FBI e pela Agência de Segurança Cibernética e Infraestrutura ressalta a gravidade da ameaça.
O apelo aos atacantes é bastante direto. Ransomware pode levar tempo para se propagar por toda a rede, já que hackers trabalham para escalonar privilégios para obter o máximo controle sobre a maioria dos sistemas. Quanto mais tempo levar para qualquer um perceber, mais danos eles podem causar. “De um modo geral, os atores de ameaças implantam seu ransomware quando há menos probabilidade de as pessoas estarem por perto começarem a desligar”, diz Brett Callow, analista de ameaças da empresa de antivírus Emsisoft. “A menor chance de o ataque ser detectado e interrompido.”
Mesmo que seja pego relativamente cedo, muitas das pessoas encarregadas de lidar com isso são potencialmente à beira da piscina, ou pelo menos mais difíceis de conseguir do que seriam em uma tarde normal de terça-feira. “Intuitivamente, faz sentido que os defensores possam estar menos atentos durante as férias, em grande parte por causa da diminuição da equipe”, diz Katie Nickels, diretora de inteligência da empresa de segurança Red Canary. “Se um incidente grave ocorrer durante um feriado, pode ser mais difícil para os defensores trazer o pessoal necessário para responder rapidamente.”
São esses grandes incidentes que provavelmente chamaram a atenção do FBI e da CISA; além dos incidentes da JBS e Kaseya, o devastador ataque Colonial Pipeline ocorreu no fim de semana do Dia das Mães. (Não é um fim de semana de três dias, mas ainda cronometrado para o máximo de inconvenientes.) As agências disseram que não têm nenhum “relatório específico de ameaças” de que um ataque semelhante ocorrerá no fim de semana do Dia do Trabalho, mas não deve ser qualquer tipo de surpresa se acontecer.
É importante lembrar também que o ransomware é uma ameaça constante, e para cada escassez de gasolina que captura manchetes, existem dezenas de pequenas empresas a qualquer momento lutando para enviar bitcoins para cibercriminosos. As vítimas relataram 2.474 incidentes de ransomware ao Centro de Reclamações de Crimes na Internet do FBI em 2020, um aumento de 20% em relação ao ano anterior. As demandas dos hackers triplicaram nesse mesmo período de tempo, de acordo com dados do IC3. Esses ataques não se concentraram em todos em torno de fins de semana de três dias e feriados Hallmark.
Na verdade, como a CISA e o FBI reconhecem, os fins de semana em geral tendem a ser populares entre bandidos. Callow observa que os envios ao ID Ransomware – um serviço criado pelo pesquisador de segurança Michael Gillespie que permite fazer upload de notas de resgate ou arquivos criptografados para descobrir exatamente o que o atingiu – tendem a aumentar às segundas-feiras, quando as vítimas retornarem aos seus escritórios para encontrar seus dados criptografados.
O tempo estratégico por parte dos hackers também assume outras formas. Os ataques contra as escolas caem vertiginosamente no final da primavera e no verão, diz Callow, porque há muito menos urgência associada à recuperação então. Quando roubaramUS$ 81 milhões do Bangladesh Bank, o Lazarus Group da Coreia do Norte cronometrou o assalto para aproveitar não apenas as diferenças entre os fins de semana de Bangladesh e dos EUA – no primeiro, é sexta-feira e sábado – mas também o Ano Novo Lunar, um feriado em grande parte da Ásia.
É verdade que um punhado de grandes gangues de ransomware – DarkSide, Ragnarok e REvil entre elas – se dissolveram ou ficaram offline ultimamente. A vice-conselheira de segurança nacional Anne Neuberger disse em uma coletiva de imprensa na quinta-feira que as agências de inteligência dos EUA viram uma “redução” no ransomware recentemente. Mas os pesquisadores de segurança advertem contra qualquer suspiro de alívio. “Grupos de ransomware como Pysa, Lockbit 2.0, Conti e muitos outros continuam causando danos significativos às organizações”, diz Nickels. “Mesmo quando uma ou mais famílias dominantes de ransomware desaparecem, geralmente há outra logo atrás dela para preencher a lacuna.” No mesmo briefing, Neuberger também alertou as organizações para “estarem de guarda” antes do fim de semana prolongado.
Infelizmente, preparar-se para um hack em potencial não é uma questão de derrubar várias escotilhas em uma tarde de sexta-feira. Até lá, já é tarde demais; os atacantes tendem a se esconder em sistemas comprometidos e atacar no momento mais oportuno. O melhor momento para uma defesa rigorosa foi muitas vezes semanas antes do ransomware realmente chegar. “A maioria das arrombamentos de casa ocorre no meio do dia, mas você não tranca apenas sua casa”, diz Callow.
Dito isso, existem medidas que empresas e indivíduos podem tomar para se proteger melhor de hacks, tanto antes de um fim de semana prolongado quanto além. As recomendações do FBI e da CISA ecoam as melhores práticas para a maioria das situações de segurança cibernética: Não clique em links suspeitos. Faça um backup offline dos seus dados. Use senhas fortes. Certifique-se de que seu software esteja atualizado. Use autenticação de dois fatores. Se você usa o Remote Desktop Protocol – um produto da Microsoft que historicamente provou ser um ponto de entrada popular para atacantes – proceda com cautela. E talvez mantenha algumas pessoas extras de plantão neste fim de semana, por precaução.
FONTE: WIRED