0
0
No início deste ano, as autoridades policiais interromperam as operações do grupo cibercriminoso Hive, que lucrou com um modelo de negócios de ransomware como serviço (RaaS). Acredita-se que o Hive seja afiliado ao grupo de ransomware Conti, que está associado a uma lista de outros grupos, incluindo Royal, Black Basta e Quantum. Os afiliados RaaS e suas vítimas estão em todo o mundo e usam inúmeras táticas e técnicas. O caso Hive nos diz muito sobre as tendências do RaaS, como ele se relaciona com a criptomoeda e como se defender contra grupos semelhantes.
A Hive, como outros provedores de RaaS, escreveu um criptografador de ransomware, criou um domínio Dark Web, anunciou seus serviços para afiliados e fóruns e, em seguida, permitiu que os usuários comprassem uma licença para seus serviços para configurar uma carga útil de ransomware e receber fundos de extorsão. Geralmente, os provedores de RaaS recebem uma parte; normalmente é uma divisão 75/25, 80/20 ou 85/15 (o Hive era 80/20).
Como a criptomoeda suporta RaaS
Devido à natureza sem fronteiras e quase instantânea da criptomoeda, o Hive e todos os outros grupos de ransomware ainda usam criptomoeda. É um sistema anônimo de transferência e envio instantâneo de fundos para todo o mundo; nenhuma conversão ou aprovação bancária é necessária.
Quer tenha um preço alto ou baixo, a criptomoeda é o melhor e mais eficaz caminho para os operadores de ransomware extrairem fundos das vítimas. O preço da criptomoeda segue o caminho do Bitcoin (BTC). Se o BTC subir, a maioria dos outros também subirá e, inversamente, se o preço cair, todo o resto seguirá. Quando os invasores violam uma vítima e exigem um resgate, eles alteram a quantidade de criptomoeda solicitada com base no preço atual do token usado. Por exemplo, se um grupo de ransomware quiser resgatar uma empresa por US$ 50.000, eles converterão esse valor no preço simbólico atual e pedirão esse valor.
Embora a maior parte das criptomoedas seja rastreável, muitos grupos de ransomware operam em países cujos governos fecharão os olhos aos seus erros, desde que ataquem vítimas em outros lugares. Por exemplo, muitos operadores de ransomware da Europa Oriental e da Rússia colocam lógica no código do seu malware para localizar geograficamente a máquina da vítima. O malware será encerrado se estiver em um país que faça parte da Comunidade de Estados Independentes (CEI). Isso permite que os operadores de ransomware nesses países implantem ransomware sem se preocupar em serem presos.
Os governos estão intensificando
O caso Hive é único porque uma operação conjunta global de autoridades federais de vários países trabalhou em conjunto para derrubar a infraestrutura de um grupo de ransomware. Isso foi possível principalmente porque a infraestrutura de servidores do grupo Hive estava parcialmente nos Estados Unidos.
A operação – e outras remoções recentes de grupos de ransomware como REvil e DarkSide – demonstra como os governos estão se tornando mais ofensivos para impedir os atores de ameaças. As agências de aplicação da lei e de segurança cibernética perceberam que uma estratégia puramente defensiva não é a melhor abordagem para resolver este problema.
Táticas variadas complicam os desafios de segurança
As metodologias usadas nesses ataques variam, pois diferentes afiliados têm táticas diferentes, mesmo dentro do mesmo grupo de ransomware. Como cada grupo RaaS tem múltiplas táticas e técnicas que podem ser implementadas de diversas maneiras, isso complica o desafio que as equipes de segurança enfrentam na defesa contra eles.
Para os profissionais de segurança, uma boa postura defensiva deve ser holística e incluir mecanismos de defesa aprofundados. Por exemplo, sabe-se que as afiliadas do Hive violam organizações que usam o Remote Desktop Protocol (RDP) sem autenticação multifator (MFA) , credenciais roubadas, campanhas de phishing e vulnerabilidades de software. Não existe uma solução única para resolver eficazmente estes problemas; você precisaria de várias soluções trabalhando em sinergia para evitar ataques. As necessidades incluem uma política para garantir que o MFA esteja em qualquer autenticação em sua rede (idealmente, uma rede de confiança zero), licença(s) multifator, se você não as tiver, treinamento em segurança de e-mail e phishing e um sistema de gerenciamento de patches com ativos abrangentes . gestão por trás disso.
Pesos e contrapesos
CL0P, outro grupo, é conhecido por violar empresas da cadeia de fornecimento de software e depois violar outras empresas que os utilizam – implantando ransomware ou exfiltrando dados. Sua postura defensiva deve ser abrangente e ter uma série de freios e contrapesos para se proteger desse tipo de ataque. Se uma solução falhar, idealmente, você desejaria que outra detectasse as falhas ou falsos positivos. Se eu tivesse que escolher uma chave essencial a ser seguida pelas empresas, seria abordar a segurança de e-mail e o phishing com treinamento. Quase todos os agentes de ameaças disseminam malware por meio de e-mails de phishing e direcionamento – na verdade, é aqui que a maioria das violações começa, de acordo com o “ Relatório de investigações de violação de dados de 2023 ” da Verizon.
Implementar uma postura de segurança holística e empregar medidas de defesa profunda é a melhor abordagem para combater grupos RaaS, dados os seus variados métodos de ataques. Como a maioria das empresas não tem recursos para gastar dinheiro em soluções, um bom ponto de partida é lidar com soluções de phishing e segurança de e-mail.
FONTE: DARKREADING