O último ano viu uma aceleração impressionante em incidentes de ransomware, com 25% de todas as violações contendo um componente ransomware.
Essa é a descoberta de primeira linha no Verizon Data Breach Investigations Report (DBIR) de 2022, que constatou que os eventos de ransomware em conjunto com violações aumentaram 13% no ano passado — o relatório do ano passado constatou que apenas 12% dos incidentes foram relacionados a ransomware. Isso se traduz em uma taxa de aumento que é mais do que os cinco anos anteriores de crescimento combinados.
O 15º DBIR anual analisou 23.896 incidentes de segurança, dos quais 5.212 foram violações confirmadas. Cerca de quatro em cada cinco deles foram obra de gangues cibernéticas externas e grupos de ameaças, de acordo com a Verizon. E de acordo com Alex Pinto, gerente da equipe de Pesquisa de Segurança da Verizon, esses tipos nefastos estão achando mais fácil e fácil ganhar uma vida mal-obtida com ransomware, tornando outros tipos de violações cada vez mais obsoletas.
“Tudo em crimes cibernéticos tornou-se tão commodity, como um negócio agora, e é muito eficiente de uma metodologia para monetizar sua atividade”, diz ele ao Dark Reading, observando que, com o surgimento do ransomware as-a-service (RaaS) e os corretores de acesso inicial, é preciso muito pouca habilidade ou esforço para entrar no jogo de extorsão.
“Antes, você tinha que entrar de alguma forma, olhar ao redor e encontrar algo que valesse a pena roubar que teria um revendedor do outro lado”, explica. “Em 2008, quando iniciamos o DBIR, foram os grandes dados do cartão de pagamento que foram roubados. Agora, isso caiu vertiginosamente porque eles podem simplesmente pagar pelo acesso a outra pessoa estabelecida e instalar ransomware alugado, e é muito mais simples alcançar o mesmo objetivo de conseguir dinheiro.”
Um corolário dessa história é que toda e qualquer organização é um alvo — as empresas não precisam mais ter algo que valha a pena roubar no caminho de dados altamente sensíveis para cair na mira do crime cibernético. Isso significa que as organizações de pequeno e médio porte devem ter cuidado, disse Pinto, bem como organizações muito pequenas, mães e pop.
“Você não precisa mais ir para os grandões”, disse Pinto. “Na verdade, ir para os grandões pode ser contraproducente porque essas pessoas geralmente têm seus patos mais em uma fileira, tanto quanto as defesas. Se uma empresa tem um punhado de computadores e eles se preocupam com seus dados, você potencialmente vai ganhar alguns dólares com eles.”
Colocado em um contexto diferente, o DBIR descobriu que cerca de 40% das violações de dados são devido à instalação de malware, disse ele (o que a Verizon se refere como invasões de sistema), e o aumento do RaaS levou a 55% desses incidentes específicos de violação envolvendo ransomware.
“Nossa preocupação é que, na verdade, não há teto aqui”, diz Pinto. “Acho que não estamos mais convencidos de que isso vai parar – a menos que alguém venha com algo ainda mais eficiente. Eu não posso imaginar o que seria, mas talvez seja por isso que eu não estou no negócio do crime organizado.”
O Efeito Vento Solar
As consequências do infame hack da cadeia de suprimentos SolarWinds explodiram ao longo do ano, com o vetor de “atualizações de software” empurrando a categoria “violação de parceiros” até ser responsável por 62% dos incidentes de intrusão do sistema (incluindo incidentes de ransomware) — e isso é muito, muito acima, de um 1% insignificante em 2020.
Pinto observou que, apesar das manchetes e do interesse em incidentes como o SolarWinds (e outros, como os ataques de ransomware relacionados a Kaseya), lidar com violações da cadeia de suprimentos não requer uma revisão operacional para a maioria das empresas.
“Proteger contra as consequências de uma violação da cadeia de suprimentos se você fosse um dos clientes afetados não é tão diferente de proteger de vários outros tipos de malware, porque seus servidores estão se destacando para um lugar onde não deveriam estar. Se você é um CISO, as técnicas que você usa devem ser bastante semelhantes às que você já usa, porque, francamente, tentar ir atrás de cada fornecedor de software que você tem para tentar torná-los seguros vai deixá-lo louco. É um elevador muito grande.
Por onde começar na defesa de ransomware
Ao examinar os caminhos de entrada para violações, Pinto observou que os ataques podem ser fiavelmente resumidos a quatro caminhos diferentes (e familiares): o uso de credenciais roubadas; engenharia social e phishing; exploração de vulnerabilidade; e o uso de malware.
“A única coisa quando você fecha esse relatório para fazer é, vá olhar para essas quatro coisas em seu ambiente e quais controles você tem para elas”, diz Pinto.
Quando se trata de violações relacionadas a ransomware, em particular, 40% dos incidentes analisados envolveram o uso de software de compartilhamento de desktop, como o Remote Desktop Protocol. E 35% envolveram o uso de e-mail (phishing, principalmente).
“Bloquear sua infraestrutura externa, especialmente RDP e e-mails, pode ser um longo caminho para proteger sua organização contra ransomware”, diz Pinto.
Vale ressaltar que, no geral, 82% de todas as violações analisadas pela Verizon se basearam em erros humanos (configurações erradas, por exemplo, responsáveis por 13% das violações) ou interação (phishing, engenharia social ou credenciais roubadas). Artur Kane, vice-presidente de produto da GoodAccess, diz que isso indica algumas práticas recomendadas para dar uma olhada.
Em primeiro lugar, existem as soluções técnicas, como exigir autenticação multifatorial (MFA) e segmentação de rede por privilégios de acesso, além de implementar recursos de detecção de ameaças em tempo real, manter logs de acesso contínuos e executar backups regulares.
“No entanto, os administradores de segurança também precisam ter planos sólidos de resposta e recuperação para essas ocorrências, e devem realizar treinamentos e exercícios regulares”, diz Kane. “[E] o treinamento do usuário pode contribuir muito para melhorar a postura geral de segurança da empresa. À medida que grande parte dos ataques de ransomware é aberta com uma isca de phishing, treinar os funcionários sobre como localizá-los pode economizar milhões de dólares na recuperação de violação posterior.”
FONTE: DARK READING