0
0
Recrutamento de pessoal por hackers baseados em trabalhos flexíveis, temporários ou freelancers está dificultando o combate ao ransomware, diz a Microsoft
A atual pandemia de ransomware-as-a-service (RaaS) está sendo alimentada pelas ferramentas, serviços e profissionais que integram a chamada economia gig, o que torna mais difícil a detecção da distribuição de cargas úteis de ransomware e os ataques mais fáceis de serem lançados, de acordo com a Microsoft.
Economia gig, ou economia compartilhada, é um sistema em que empresas e profissionais independentes firmam acordos baseados em trabalhos flexíveis, temporários ou freelancers, geralmente envolvendo a conexão por meio de uma plataforma online.
A gigante da tecnologia explica em um longo post publicado esta semana que essa modalidade de recrutamento de pessoal está dificultando criação de barreiras de entrada para operadores de ameaças, que fornecem uma parte dos lucros obtidos com as campanhas de ransomware como contrapartida pelo trabalho executado.
“A economia cibercriminosa é um ecossistema conectado em constante evolução, composta por muitos participantes com diferentes técnicas, objetivos e habilidades, e envolve desde desenvolvedores, pen testers, especialistas em engenharia reversa até operadores de sites de vazamento de dados”, afirma a Microsoft.
Segundo a empresa, da mesma forma que a economia tradicional mudou com a contratação de trabalhos temporários por eficiência, os cibercriminosos estão aprendendo que essa modalidade de “contrato” dá menos trabalho e envolve menos risco, pois ao alugarem ou venderem suas ferramentas em troca de uma parte dos lucros se eximem de realizar os ataques. “Essa industrialização da economia do crime cibernético tornou mais fácil para os invasores usarem testes de penetração prontos e outras ferramentas para realizar seus ataques”, diz a fabricante de software.
A Microsoft acrescenta que isso tornou mais difícil para os investigadores vincular ataques a um grupo específico de desenvolvedores de ransomware. Isso também porque muitos desses trabalhadores temporários são contratados de outros grupos ou por um período de tempo limitado e único.
Um desses grupos, o DEV-0193, foi responsável pelo desenvolvimento e distribuição de cargas úteis de ransomware, como o Trickbot, Bazaloader e AnchorDNS, e pela operação dos negócios do Ryuk, Conti e Diavol RaaS. “As ações do DEV-0193 e o uso da economia gig pelos cibercriminosos significam que eles geralmente adicionam novos membros e projetos e utilizam contratados para realizar várias partes de suas invasões”, afirma a Microsoft. Alguns desses contratados, segundo a empresa, produziram campanhas como o Cobalt Strike Beacon-as-a-service, que facilita a vida de outros cibercriminosos.
A Microsoft também sustenta que muitas afiliadas de RaaS têm “tradecraft [técnicas, métodos e tecnologias], habilidades e estruturas de relatórios muito diferentes”, como evidenciado por aqueles que trabalham com os operadores do Conti.
Alguns realizam invasões em escala relativamente pequena usando ferramentas oferecidas pelo RaaS, enquanto outros dedicam semanas a operações usando suas próprias técnicas e ferram entas. Além disso, diz a fabricante de software, alguns priorizam organizações com grandes receitas, enquanto outros visam aqueles com dados confidenciais ou grandes marcas. No entanto, algumas técnicas comuns ainda prevalecem, o que deve ajudar as organizações a concentrar seus esforços defensivos.
“Os invasores geralmente aproveitam a ‘falta de higiene’ de credenciais de uma organização e configurações herdadas ou configurações incorretas para encontrar pontos de acesso fácil e escalonamento de privilégios em um ambiente”, finaliza a Microsoft.
FONTE: CISO ADVISOR