0
0
Neste verão, a Abnormal Security descobriu que alguns dos funcionários de seus clientes estavam recebendo e-mails convidando-os a instalar ransomware em um computador da empresa em troca de uma participação de US$ 1 milhão dos “lucros”.
Quando a equipe da Abnormal montou uma personalidade falsa e entrou em contato com os criminosos para jogar junto, no entanto, as coisas começaram a desmoronar. Embora o criminoso inicialmente tenha discutido um resgate potencial de US$ 2,5 milhões, esse número caiu e caiu à medida que as negociações avançavam, primeiro para US$ 250.000 e depois para apenas US$ 120.000.
Eles exibem uma lista de serviços em várias camadas, variando de um pacote de ‘teste’ de um mês por US$ 90, passando para ofertas ‘padrão’ e ‘premium’, antes de chegar ao pacote de assinatura ‘elite’ de 12 meses, com todos os sinos e assobios, por US$ 1.400…
O suposto atacante também parecia ter muito pouca compreensão das técnicas normais de resposta a incidentes, diz Abnormal, e uma compreensão bastante instável da tecnologia que eles alegavam estar usando. Mas graças à disponibilidade de ransomware como serviço (RaaS), essa inexperiência em si não era uma barreira.
Os “pacotes” RaaS estão disponíveis em fóruns da dark web que oferecem kits de ferramentas de ransomware escaláveis e fáceis de usar. Cada vez mais, os desenvolvedores desses pacotes se tornaram altamente profissionais, oferecendo descontos em massa, suporte 24 horas, análises de usuários, fóruns de discussão e todas as outras armadilhas de um produto legítimo de software como serviço.
“As páginas da loja são quase perturbadoramente corporativas”, diz Mitch Mellard, principal analista de inteligência contra ameaças da Talion. “Usando o exemplo da página do serviço EGALYTY ransomware-as-a, eles orgulhosamente exibem links para publicações infosec on-line discutindo especificamente sua tensão como um distintivo de honra, como uma loja de software mundana exibiria críticas positivas de publicações de tecnologia.
“Em seguida, eles exibem uma lista de serviços multicamadas, variando de um pacote de ‘teste’ de um mês por US$ 90, passando para ofertas ‘padrão’ e ‘premium’, antes de chegar ao pacote de assinatura ‘elite’ de 12 meses, com todos os sinos e assobios, por US$ 1.400.”
Em muitos casos, os grupos trabalham em um modelo de afiliado, com os desenvolvedores fazendo um corte do resgate além do pagamento mensal, geralmente no valor de cerca de 20 a 50%. Os afiliados são apoiados através do processo de montagem de um ataque.
“Muitas pessoas por trás do ransomware são pessoas simples que têm experiência no campo da segurança da informação e decidem tentar ganhar dinheiro dessa maneira”, diz Marijus Briedis, CTO da NordVPN. “Essa tendência foi acelerada pela COVID-19 quando as pessoas foram forçadas a se sentar em casa.”
No entanto, diz Jamie Collier, consultor de inteligência contra ameaças cibernéticas da Mandiant Threat Intelligence da FireEye, a mudança dos desenvolvedores de ransomware para estruturas corporativas profissionais também trouxe outras mudanças.
“O que isso levou não é necessariamente apenas uma carga de atores pouco sofisticados se envolvendo, também é permitido um nível mais profundo de especialização, então, como um compromisso da cadeia de suprimentos ou exploração de vulnerabilidades de dia zero, por exemplo”, diz ele.
“Como você tem esses afiliados e essas diferentes entidades se envolvendo, isso significa que você não precisa dominar todos os estágios do ciclo de vida do ataque.”
Como resultado, grupos de ransomware estão contratando especialistas em todos os aspectos do negócio, desde testadores de caneta que podem obter acesso inicial a sistemas até negociadores de resgate.
“A economia RaaS segue uma cadeia de valor bem orquestrada que parte de um pesquisador de vulnerabilidades que identifica e vende vulnerabilidades de dia zero para desenvolvedores que criam malware para aproveitar as vulnerabilidades e para fornecedores ou distribuidores que fazem marketing e vendas em ofertas RaaS na rede escura”, diz George Papamargaritis, diretor de MSS da Obrela Security Industries.
“Os provedores de hospedagem desonestos, intermediários que fazem operações de lavagem de Bitcoin e oferecem Bitcoin a cambistas, também fazem parte da cadeia de valor.”
E os operadores de botnet também estão em demanda: pesquisadores da empresa de segurança Kela citam um anúncio de emprego dark net procurando alguém para lidar com dois a três bots por dia, prometendo trabalho constante até o final do ano, juntamente com bônus fixos e 10% do lucro final.
Encontrando os candidatos a emprego
O recrutamento, novamente, é um assunto altamente organizado.
“Muitas vezes você terá que fornecer algum nível de prova de que é genuíno, quer tenha sido anteriormente ativo no espaço ou esteja disposto a destacar seus interesses e engajamento para entrar em grupos fechados”, diz Collier.
“Portanto, há muitas barreiras lá para impedir que alguém se envolva apenas por causa disso – ou, aliás, para impedir que a aplicação da lei se envolva.”
Enquanto isso, os grupos RaaS estão começando a encontrar novas maneiras de ganhar dinheiro. Em vez de simplesmente criptografar dados e exigir um resgate pela chave de decodificação, eles estão exfiltrando os dados antes de criptografá-los e, em seguida, ameaçando vazá-los ou publicá-los – para que até mesmo organizações com bons backups possam ser ameaçadas.
A teia escura é como Wall Street. Quanto maiores os danos que os dados vendidos podem infligir, mais caro é…
“Grupos como REvil e Maze têm sido extremamente bem-sucedidos na monetização de dados exfiltrados de suas vítimas”, diz Dean Ferrando, engenheiro de sistemas líder (EMEA) da Tripwire. “Esses grupos, que inicialmente operavam apenas bloqueando pessoas de seus arquivos, descobriram que pode ser ainda mais lucrativo extorquir um resgate em troca de não publicar dados vazados.”
E essa “dupla extorsão” às vezes se desenvolve em tripla extorsão, diz ele: “Em alguns casos, os grupos afirmam ter organizado vendas a terceiros interessados quando os proprietários de dados originais se recusaram a pagar”.
E, agora, o próximo passo está começando a evoluir: referido por alguns como extorsão quádrupla. Tanto a gangue Grief Corp – que o Departamento do Tesouro dos EUA acredita estar conectada à Evil Corp, com sede na Rússia – quanto o grupo ransomware Ragnar Locker começaram a alertar as vítimas de que vazarão dados roubados de vítimas que entrarem em contato com a aplicação da lei.
“Não pense, por favor, que qualquer negociador será capaz de nos enganar, temos experiência suficiente e muitas maneiras de reconhecer tal mentira”, Ragnar Locker ameaçou vítimas neste verão. “Caros clientes, se você quiser resolver todos os problemas sem problemas, não peça à polícia para fazer isso por você. Descobriremos e puniremos com todos os nossos esforços.”
E quando os dados roubados vazam, eles estão novamente sendo vendidos de maneira corporativa.
“Os cibercriminosos até têm programas de fidelidade e sistemas de descontos em vigor, variando de 5% a 30% de desconto para compras em massa”, diz Briedis. “A dark web é como Wall Street. Quanto maiores os danos que os dados vendidos podem infligir, mais caro eles são.”
O grupo REvil – que no início deste ano vazou 2,4 GB dos documentos legais de Lady Gaga – até organizou leilões para obter o melhor preço por seus dados roubados.
Outra nova técnica que está sendo usada por atacantes de ransomware é adicionar ataques distribuídos de negação de serviço (DDoS) à mistura, ameaçando continuar indefinidamente até que um resgate seja pago. Este tipo de ataque foi relatado pela primeira vez no final do ano passado pelos grupos SunCrypt e Ragnar Locker, com Avaddon seguindo o exemplo no início deste ano.
E uma tendência crescente, de acordo com Collier, é a segmentação de clientes, mídia e outros para dizer a eles que uma organização foi hackeada.
“Por exemplo, vimos grupos de ransomware ligarem e assediarem funcionários de uma organização. Vimos eles entrar em contato com parceiros de negócios e fornecedores, terceiros, para aumentar a pressão adicional”, diz ele.
“Você tem grupos de ransomware agora interagindo com a imprensa de forma mais proativa; eles estão sendo muito experimentais, olhando para fora da caixa e explorando novas maneiras de impor pressão às vítimas.”
Não é segredo que o número de ataques de ransomware tem disparado. De acordo com o Cybersecurity Threatscape da Positive Technologies para o segundo trimestre de 2021, eles saltaram 45% apenas em abril e agora são responsáveis por quase sete em cada dez ataques de malware – um aumento de 30% em comparação com o mesmo trimestre do ano passado.
E com o RaaS se tornando um modelo de negócios tão bem-sucedido, diz o Group-IB, agora é responsável por quase dois terços dos ataques de ransomware.
Garoto novo na cidade
No momento, os grupos de ransomware parecem estar em um estado extraordinário de fluxo. Depois de aumentar o calor da aplicação da lei após o ataque Colonial Pipeline em maio, o DarkSide pareceu desaparecer; assim como o REvil após um ataque de alto perfil ao provedor de software de gerenciamento de TI Kaseya. Logo depois, um novo grupo chamado BlackMatter apareceu, que os pesquisadores de segurança consideram ter conexões com ambos os grupos.
BlackMatter parece usar uma estrutura financeira semelhante e cepas de ransomware ao REvil, e tem recrutado afiliados durante todo o verão. Tem publicado anúncios oferecendo entre US$ 3.000 e US$ 100.000 para acesso a redes corporativas de alto valor de empresas com receitas de pelo menos US$ 100 milhões por ano nos EUA, Reino Unido, Canadá ou Austrália.
Enquanto isso, um grupo chamado AvosLocker também começou durante o verão, recrutando afiliados em fóruns de discussão na dark web. Ao mesmo tempo, um grupo de ransomware de dupla extorsão chamado Hive Ransomware iniciou suas operações, atingindo 28 organizações, incluindo uma companhia aérea europeia, em poucas semanas. Estramente, ao contrário de outros grupos de ransomware, ele tem tido como alvo ativamente hospitais.
Além de dificultar a aplicação da lei lidar com esses grupos, tais mudanças deixam as organizações mais vulneráveis à medida que se esforçam para acompanhar.
“É um ambiente muito dinâmico e ágil, é um ambiente muito fluido, onde os atores de ameaças se formarão e se dissolverão muito rapidamente”, diz Collier.
“Há uma necessidade de fornecer inteligência contra ameaças muito mais rapidamente sobre esses grupos, porque eles só estarão por perto por um curto período de tempo – mas também potencialmente significa que as informações compartilhadas sobre esses grupos expiram muito mais rapidamente.” ®Recurso Pago: Onde o cache na memória faz sentido
FONTE: THE REGISTER