Roger Grimes diz que ‘extorsão dequintuplos’ é a nova realidade do ransomware. E está piorando

Views: 410
0 0
Read Time:10 Minute, 15 Second

No início de 2020, a comunidade de segurança cibernética começou a alertar o público sobre a última tendência de ransomware: dupla extorsão. Os extorsionários não apenas criptografariam seus dados, mas também os roubariam e ameaçariam publicá-los on-line.

Aqueles eram os dias.

Em breve, os atacantes farão tudo – comprometendo totalmente as vítimas, vendendo seus dados em pedaços aos licitantes mais altos, minando seu poder de processamento para minerar criptomoedas, ameaçando arruinar suas reputações. Criptografia e doxing são apenas o começo, de acordo com Roger Grimes, analista de defesa orientado a dados da KnowBe4 e veterano em segurança de computadores nos últimos 34 anos.

Até certo ponto, já começou. Ainda esta semana, por exemplo, foi relatado que o grupo de crimes cibernéticos Conti mudou seu modelo de negócios: em vez de extrair dados, a Conti está oferecendo-os aos compradores interessados – portanto, mesmo que o resgate não seja pago, os criminosos ainda lucram.

Na verdade, a dupla extorsão é um equívoco; é mais como extorsão quíntupla, disse Grimes, que acredita que estamos vivendo na era de ouro do ransomware – da perspectiva do adversário, de qualquer maneira.

E enquanto estivermos vivendo nessa era, será imperativo que as empresas tomem as medidas adequadas para prevenir, detectar e responder efetivamente a ataques. Com isso em mente, Grimes expôs de forma abrangente essas etapas em seu mais novo livro, “Manual de proteção de ransomware”.

Disponível em brochura e formatos digitais (i.e. Amazon Kindle), o livro de Grimes também examina o seguro cibernético e considerações legais, e faz previsões de como a ameaça de ransomware continuará a evoluir. Grimes conversou com a SC Media e explicou algumas das principais mensagens que ele pretende transmitir através de sua última publicação.

Muito tem sido escrito sobre ransomware, pois continua a atormentar a comunidade empresarial. O que seu livro acrescenta à conversa?

Verdadeira prevenção. A maioria das prevençãos de ransomware é realmente sobre “Tenha um bom backup”. E isso não é prevenção, isso faz parte da recuperação… Não conte com uma apólice de seguro de segurança cibernética… e um bom backup para salvá-lo, porque eles não o farão.

Eu falo sobre [como ransomware] não é dupla extorsão; é realmente extorsão quíntupla. Quando o ransomware invade, ele está roubando não apenas seus dados e e-mails, mas também suas credenciais de funcionário e cliente, e depois tentando encontrar todos os tipos de outras maneiras de extrair valor de sua empresa. Eles poderiam fazer criptomineração dentro da sua empresa. Eles podem fazer muitas outras coisas que um bom backup não impedirá.

Então eu acho que a coisa número um que [meu livro] traz é que ele realmente fala sobre prevenção – que você tem que parar a engenharia social, é melhor corrigir seu software, usar o MFA e ter uma boa política de senhas. Se você não fizer essas quatro coisas, não vai parar o ransomware…

Eu também tenho um capítulo inteiro dedicado ao seguro cibernético – sobre o que é, o que cobre… como é quando você passa por um evento. [E] todas as coisas que não cobre. Quase todas as vítimas de ransomware depois de serem atingidas começam a comprar todo o software e dispositivos que deveriam ter tido antes de serem atingidas. Bem, o seguro de segurança cibernética não está cobrindo nada disso.

[Também olhamos] para responder ao ransomware… É preciso uma abordagem estruturada: “Isso é [o que você faz] hora um, dia um. Esta é a primeira semana, esta é a segunda semana, este é o [próximo] mês e o resto da sua vida. E então eu vou mais longe e falo sobre como será o futuro do ransomware… Eu não tenho muitos superpoderes, mas um dos meus superpoderes é que sou muito bom em identificar para onde as coisas estão indo. E você acha que está ruim agora? Vai piorar muito.

Seu livro diz que atualmente estamos vivendo na Era de Ouro de Ransomware (da perspectiva do atacante). Como permitimos que as coisas ficassem tão ruins e o que fazemos a respeito?

A principal razão pela qual o cibercrime existe é que temos criminosos que não podem ser processados. Uma vez que aprendemos a identificar os criminosos e processá-los, isso para. Foi assim que paramos os assaltos a bancos na década de 1920… Agora, a maioria das pessoas não faz assaltos a bancos porque você provavelmente será pego, não receberá muito dinheiro e será preso. Até que a Internet mude essa equação para ransomware e cibercriminosos, eles continuarão roubando.

Por muito tempo, [a paisagem do ransomware] foi a morte por mil cortes ou fervendo a água lentamente… mas então o pessoal do ransomware começou a ganhar tanto dinheiro que fez [ainda mais atores] pular no jogo, tipo, “Não posso perder este trem de molho”. Então agora você tem entre 100 e 170 pessoas ransomware, gangues, cepas que estão ganhando muito dinheiro.

Estávamos conversando milhões antes. Agora estamos falando de bilhões – e algumas pessoas estão prevendo que centenas de bilhões de dólares sejam roubados dentro de um ou dois anos. Isso é dinheiro real, e o setor de seguros cibernéticos está literalmente dizendo: “Ei, você quer seguro de segurança cibernética? Você tem que nos provar que tem MFA e que está tentando derrotar a engenharia social e que tem criptografia.

E, como seu livro observa, os atacantes também melhoraram em aplicar pressão às vítimas, seja ameaçando publicar dados roubados, entrar em contato com os clientes de uma empresa para dizer que seus dados foram comprometidos ou cronometrar um ataque no pior momento possível, como o ataque de ransomware à empresa de doces Ferrara Candy Co. logo antes do Halloween.

Você tem que olhar da perspectiva deles. Eles são criminosos ilegais e antiéticos. Mas se você ignorar essa parte, eles são empresários, e sua organização empresarial está procurando maximizar os lucros. Então eles estão fazendo um ótimo trabalho de extorquir, uma quantia máxima de dinheiro [infligindo] uma quantidade máxima de dor.

O que eu acho que o futuro é, é que eles vão absolutamente olhar para todos os alvos agora, não apenas como um alvo ransomware para extorsão quíntupla. Eles vão dizer: “Ok antes de entrarmos lá, como podemos maximizar a quantidade de valor que podemos tirar dessa vítima?” Então, em vez de apenas atacar uma empresa de doces antes do Halloween – que é apenas uma estratégia maligna brilhante [sere rir mal] – eles vão dizer: “Ok, podemos instalar mineiros de criptomoedas, podemos usar seus recursos para minerar Bitcoin e pegar algum dinheiro dessa maneira. E então podemos vender suas credenciais na dark web e depois vender informações de e-mail e informações de dados. Então será um cenário de “Pague-nos ou divulgaremos seus dados”.

Ouvi essa história em que [um] CEO estava tendo um caso com sua secretária, e o agressor disse: “Você nos paga ou vamos dizer ao seu conselho de administração que está tendo um caso com sua secretária” e… isso não afetará apenas a vida dele, ele pode perder o emprego.

Se você olhar para a evolução natural do ransomware, ele começou com: “Vamos criptografar imediatamente”. Então foi: “Vamos em frente e criptografar mais máquinas.” Então eles estão roubando dados em credenciais. Agora eles estão rotineiramente [conduzindo] ataques distribuídos de negação de serviço e você encontrará alguns que estão fazendo mineração de criptomoedas. Acho que você vai ver todos eles [perceber]: “A coisa que nós realmente temos que é o maior valor é o acesso inegável a essas organizações e seus ativos digitais. Como podemos maximizar esse valor?

Se você quer realmente maximizar seu valor, está roubando dados que fornece aos concorrentes, dados que tenta vender para estados-nação, pesquisa, propriedade intelectual, credenciais. Você está criptominerando, você poderia usar a rede deles para fazer um ataque de negação de serviço contra outra pessoa. E quando eles nos descobrem, boom, nós saímos e fazemos a criptografia.

Seu livro faz algumas outras previsões preocupantes de ransomware. Por exemplo, você disse que podemos ver desenvolvedores de ransomware expandirem seu alcance além dos computadores desktop e, em vez disso, projetar código que infecta dispositivos móveis, sistemas de controle industrial, sistemas SCADA, dispositivos IoT e muito mais. Você consegue pintar um quadro de como esse cenário pode parecer?

Vinte anos atrás, criei algo que chamo de Corolário Grimes, que é: O que quer que se torne popular, se torne hackeado, e nunca em 20 anos não se provou ser verdade… E agora você está vendo essa mudança maciça para dispositivos móveis e IoT, e também a descentralização de dados, de todas as maneiras.

O malware mais comum hoje em dia é o malware contra dispositivos como DVRs, câmeras e roteadores, onde costumavam ser os programas de malware mais comuns contra o Windows… Já tivemos ransomware atingindo TVs há alguns anos… Então, à medida que nos tornamos mais distribuídos, os atacantes vão [perceber] que podem eliminar um monte de telefones celulares e criar a mesma dor [como um ataque tradicional, mesmo eles não podem] chegar ao seu data center… Então, parece-me que, à medida que vamos para mais IoT, à medida que vamos para mais dispositivos móveis, à medida que vamos para sistemas mais distribuídos, hackers seguirão, seja qual for a tendência tecnológica.

Alguma previsão positiva sobre ransomware?

Em última análise, acho que o sucesso do ransomware levará à sua queda… As pessoas estão acordando… Quando você tem o presidente Biden falando sobre derrotar o ransomware toda semana, há uma quantidade significativa de recursos para derrotá-lo. Por muito tempo, até este ano, o presidente dos Estados Unidos não falava muito sobre ransomware, e agora ele está mencionando isso toda semana. Isso é uma mudança, e essa mudança levará direta ou indiretamente a uma melhor segurança.

Você observa no livro que dedica muito mais palavras e capítulos à resposta de ransomware do que à prevenção e detecção, porque a recuperação e a resposta são a fase mais complicada e complexa de navegar. Explique.

Uma vez que qualquer coisa seja assumida – software, um dispositivo ou o que quer que seja, você não sabe o que eles fizeram. Você não sabe onde eles estão escondidos.

Deixe-me dar um exemplo muito comum: altero todas as minhas senhas agora ou mais tarde? O bandido está invadido… Eu preciso alterar todas as senhas agora para manter os bandidos fora, mas se eu alterar todas as senhas e eles tiverem trojans backdoor, eles estão de volta e terão minha nova senha. Se eu esperar até me certificar de me livrar de todos os bandidos, estou demorando mais [e] isso pode causar mais danos.

Então, há todas essas lutas de “O que eu faço? Em que ordem?” E então, “Eu reconstruo tudo? eu só tento me recuperar disso?” Em última análise, a melhor decisão de segurança é reconstruir completamente seu ambiente do zero… [Mas] a maioria das empresas não está fazendo isso porque não tem tempo para fazê-lo e, portanto, fará uma recuperação, versus uma reconstrução. E então, muito do livro está falando sobre isso.

Gostei que você também incluísse uma seção sobre o que não fazer em caso de ataque. Por exemplo, não minta ou discuta com seu extorsão. Qual foi o seu pensamento por trás deste capítulo?

É incrível pensar que alguém iria argumentar de volta para um atacante que tem controle absoluto sobre eles ou insultá-los. Mas isso acontece, e aqueles atacantes gostam: “Boa viagem”. Ou às vezes eles realmente até pioram as coisas. Como se talvez eles fossem apenas ransomware atacando você e agora eles começam a fazer um ataque distribuído de negação de serviço.

[Você pode dizer] “Eu tenho um bom backup.” Bem, acontece que você não sabia que eles corromperam seus backups e apagaram seus backups – e agora eles estão pedindo o dobro, e agora você tem que começar a discutir… de volta ao pagamento original do qual eles estavam falando. Ou eles poderiam vender suas informações.

[Além disso,] nos Estados Unidos pode ser ilegal você pagar um resgate… Já houve dois memorandos dos EUA. Departamento do Tesouro, afirmando que você não pode pagar resgate a alguém que está na lista “Não Pague”, mesmo que você não saiba que eles estão na lista “Não Pague”. Você ou um serviço em seu nome tem que fazer alguma diligência devida porque… você não quer violar essa lei [e criar] problemas adicionais.

FONTE: SC MAGAZINE

POSTS RELACIONADOS