0
0
Por Farwa Sajjad
Os ataques de ransomware continuam a representar uma ameaça crescente para as organizações, tendo se tornado a principal ameaça, afetando 66% das organizações em 2023 e arrecadando mais de US$ 1 bilhão das vítimas. Esses ataques aumentaram em frequência e sofisticação, resultando em perdas financeiras significativas, interrupção das operações, roubo de dados sensíveis e redução das taxas de produtividade. Além disso, prejudicam a reputação da organização, resultando na perda de confiança dos clientes e violações de conformidade. Uma organização precisa de uma estratégia de proteção abrangente para reduzir a frequência desses ataques e os riscos que eles representam.
Modelo de negócio do ransomware: Como esses ataques estão evoluindo?
No passado, os ataques de ransomware baseavam-se principalmente em e-mails de phishing, explorações de protocolos de desktop remoto e portas vulneráveis para aumentar suas chances de sucesso. Além disso, esses ataques utilizavam técnicas de evasão para contornar medidas de segurança tradicionais, como firewalls ou antivírus. Esses métodos resultaram em ataques famosos como WannaCry, TeslaCrypt e NotPetya.
Com o tempo, os atacantes de ransomware evoluíram e se tornaram mais sofisticados, direcionados e lucrativos para os cibercriminosos. Abaixo estão as tendências mais recentes que os hackers adotam para lançar um ataque de ransomware bem-sucedido:
Exploração de vulnerabilidades Zero-Day
A mudança nas gangues de ransomware e suas táticas e procedimentos sofisticados aumentaram o número de ataques de ransomware. Anteriormente, REvil, Conti e LockBit eram as gangues de ransomware mais famosas, mas agora Clop, Cuban e Play estão ganhando imensa popularidade ao empregar técnicas avançadas de hacking, como vulnerabilidades zero-day.
O relatório State of Ransomware 2024 da Sophos revelou que as vulnerabilidades exploradas são a causa raiz dos ataques de ransomware. A gangue de ransomware Clop usou a vulnerabilidade zero-day na plataforma MOVEit Transfer para roubar dados sensíveis de várias organizações. Este grupo também mirou a vulnerabilidade zero-day do GoAnywhere em janeiro de 2023, afetando 130 organizações, e explorou os servidores Accellion FTA em 2020. Da mesma forma, Cuban e Play usaram a mesma técnica de ataque para comprometer servidores Microsoft Exchange não corrigidos.
Extorsão dupla e tripla
Outra razão para o aumento dos ataques de ransomware é a introdução da técnica de extorsão dupla ou tripla. A empresa de cibersegurança Venafi relatou que 83% dos ataques de ransomware incluíram múltiplas exigências de resgate em 2022.
Os cibercriminosos criptografam os dados, exfiltram informações sensíveis e ameaçam divulgá-las ou vendê-las na dark web se o resgate não for pago em um esquema de extorsão dupla. Essa tática prova ser altamente eficaz, pois mantém os dados da vítima como refém e também introduz o risco de não conformidade regulatória e danos à reputação.
Com a pressão aumentada sobre as vítimas para cumprir as exigências dos atacantes, descobriu-se que 62,9% das vítimas de ataques de ransomware concordam em pagar o resgate sem garantia de recuperar os dados. Como durante a violação da MCNA Dental, a gangue de ransomware LockBit publicou todos os dados em seu site de vazamento antes que a empresa pagasse o resgate.
Da mesma forma, um ataque de ransomware de extorsão tripla adiciona um terceiro vetor, que pode ser um ataque distribuído de negação de serviço (DDoS). Operadores de ransomware buscam resgate colocando pressão extra sobre a organização ou até ameaçando o tempo de inatividade ou problemas regulatórios. Múltiplos atores de ameaça usaram essa tática, como o Vice Society, em um ataque contra o sistema de transporte rápido da Bay Area de San Francisco.
Modelo Ransomware-as-a-Service (RaaS)
As infecções por ransomware viram um aumento acentuado no primeiro semestre de 2023, com um aumento de 50% com o modelo Ransomware-as-a-Service (RaaS). Com esses kits, os atacantes realizam ataques mais rapidamente, com o número médio de dias para executar o ataque sendo de quatro, em vez de 60 dias.
O modelo Ransomware-as-a-Service (RaaS) opera em um sistema baseado em assinatura ou comissão, tornando-o acessível a indivíduos com mínima expertise técnica. Os atores de ameaça não precisam mais de habilidades avançadas de codificação, pois podem alugar ferramentas de mercados subterrâneos para lançar ataques mais devastadores.
Os operadores de RaaS, como AlphaV, Conti e REvil, estão disponíveis na dark web com uma gama de recursos e pacotes que permitem que hackers não técnicos ou amadores realizem ataques de ransomware bem-sucedidos. Em troca, esses afiliados deduzem uma quantia considerável como lucro do valor do resgate. Essa mudança amplia o alcance dos cibercriminosos e aumenta a frequência e diversidade das infecções por ransomware. Tudo isso representa um desafio significativo para indivíduos, empresas e infraestruturas críticas.
O aumento dos operadores de RaaS tem consequências graves para as empresas, incluindo penalidades financeiras e regulatórias, interrupção operacional e danos à reputação. Durante o infame ataque de ransomware à subsidiária da UnitedHealth, a Change Healthcare admitiu ter pago um pedido de resgate de supostos US$ 22 milhões para a gangue ALPHV. Eles usaram credenciais roubadas para acessar o serviço Citrix da empresa, que não possui autenticação multifatorial. Este ataque causou uma perda geral de US$ 87 milhões até abril de 2024 e provavelmente aumentará até que todas as investigações sejam concluídas.
Mais ataques direcionados a dispositivos IoMT
Com a rápida proliferação de dispositivos da Internet das Coisas Médicas (IoMT), como rastreadores vestíveis, sistemas de monitoramento remoto de pacientes e sensores de monitoramento de pacientes, as redes de saúde são acessadas por dispositivos de terceiros. Infelizmente, isso aumentou as vulnerabilidades que os atacantes podem explorar para espalhar infecções por ransomware.
De acordo com um estudo do Ponemon Institute em 2022, 43% das organizações de saúde nos EUA sofreram um ataque de ransomware, e 76% enfrentaram uma média de três ou mais. O estudo também relatou que os dispositivos IoMT são a principal causa de 21% de todos os ataques de ransomware e levam a efeitos adversos na saúde dos pacientes.
Recentemente, o Nozomi Network Lab encontrou quase uma dúzia de falhas de segurança na família de ultrassons Vivid da GE HealthCare e seu software associado. O mesmo estudo concluiu que atores de ameaça poderiam explorar as vulnerabilidades para acessar e alterar dados dos pacientes e instalar ransomware, eventualmente interrompendo o fluxo de trabalho dos hospitais e danificando a reputação.
Esses ataques causam perdas monetárias significativas e tempo de inatividade nos serviços de saúde e degradam o atendimento ao paciente. Por exemplo, um ataque de ransomware ao Medstar Washington Hospital fez com que a instalação encerrasse completamente seus serviços. Da mesma forma, em outro evento, um hospital em Los Angeles pagou US$ 17.000 em bitcoins como resgate para liberar seus sistemas.
Ataques de ransomware potencializados por IA
O surgimento da IA generativa é outra preocupação crescente, pois pode levar a uma exploração mais avançada de ransomware em 2024 e além. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) emitiu um relatório alertando que atacantes maliciosos estão usando IA para evoluir ataques de ransomware por meio de reconhecimento avançado.
Os atacantes habilitados por IA podem explorar fraquezas de segurança dentro das defesas cibernéticas existentes usando IA para reconhecimento. Os atacantes também podem detectar e explorar pontos de entrada que as defesas tradicionais podem negligenciar. Isso inclui configurações incorretas de segurança e vulnerabilidades zero-day em software e sistemas, o que torna ainda mais difícil mitigar tais ataques.
Os atacantes também podem usar IA generativa para automatizar várias etapas do processo de infecção por ransomware. Tudo isso aumenta a eficiência dos ataques e reduz a necessidade de intervenção humana.
Criptografia intermitente
Os atacantes de ransomware usam táticas de criptografia intermitente para lançar ataques. Sob esse método de criptografia, eles criptografam parcialmente os arquivos das vítimas e evitam os sistemas de detecção, causando danos significativos. Um fornecedor de segurança descobriu essa tendência em 2021, quando a gangue LockBit a utilizou. Mas, em 2022, pesquisadores de segurança encontraram outras gangues de ransomware, incluindo Black Basta, Blackcat, PLAY, Agenda e Qyick, usando-a como vetor de ataque.
Ataques à cadeia de suprimentos
Atores de ameaça estão mirando empresas da cadeia de suprimentos para maximizar o impacto do ataque. Uma cadeia de suprimentos fraca leva a ataques de ransomware, com 64% das empresas acreditando que as gangues de ransomware infiltram sua rede por meio de parceiros de negócios ou fornecedores.
Em vez de extorquir a empresa da cadeia de suprimentos, os hackers extorquem seus clientes. Dessa forma, eles visam atingir uma empresa em vários níveis. Para acessar as redes corporativas, os atacantes também podem atacar os sistemas de clientes ou fornecedores que são terceiros de confiança para o alvo.
Um exemplo famoso foi o ataque ao fornecedor de software SolarWinds, que permitiu aos hackers infectar aproximadamente 18.000 organizações. Mais recentemente, a ameaça foi detectada em um ataque ao fornecedor de serviços de TI Synnex, que expôs dados de 140.000 funcionários e clientes.
Preparação para mitigar ransomware
Uma estratégia de defesa eficaz contra ataques de ransomware deve incluir medidas preventivas, como:
- Fortalecimento da Segurança de Endpoints: Implemente soluções de segurança robustas para proteger contra ameaças e exploits conhecidos.
- Educação e Treinamento de Funcionários: Realize treinamentos regulares sobre práticas de segurança cibernética, como identificar e-mails de phishing.
- Segregação de Rede: Separe suas redes para limitar o impacto de um ataque e evitar a propagação de ransomware.
- Backup e Recuperação: Mantenha backups regulares e verifique a integridade deles para garantir que possam ser usados em caso de um ataque.
- Atualizações Regulares e Patch Management: Aplique patches e atualizações de segurança de forma proativa para corrigir vulnerabilidades conhecidas.
Os ataques de ransomware estão se tornando o malware mais ameaçador da era digital. Eles têm aumentado em frequência e gravidade porque os atacantes estão mudando suas táticas para aumentar sua taxa de sucesso. As empresas devem adicionar mais medidas de segurança para controlar esses ataques e melhorar suas práticas de defesa cibernética. Os funcionários devem receber treinamento e estar cientes para responder prontamente quando tal ataque ocorrer.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.