0
0
O Centro de Reclamações de Crimes na Internet do Federal Bureau of Investigation recebeu 3.729 reclamações identificadas como ransomware em 2021 , um aumento de 82% em relação a apenas dois anos antes e acelerando. De acordo com o Departamento do Tesouro, as 10 principais gangues de ransomware arrecadaram pelo menos US$ 5,2 bilhões em pagamentos de extorsão . O crescimento e a escala do Ransomware chamaram a atenção dos líderes em políticas e negócios, mas devemos ficar de olho em como seus operadores podem se adaptar e evoluir para proteger seus lucros.
A evolução do ransomware
Antes da explosão do ransomware, os cibercriminosos exploravam uma variedade de técnicas de monetização. A maioria envolvia roubo e revenda de registros confidenciais, especialmente números de cartão de crédito. Muitos se concentraram em transações financeiras diretas e transferências de ACH. Outros experimentaram criptomineração ou revenda de acesso ao sistema para valor de sucata para outros cibercriminosos, chutando o problema de monetização a jusante. As técnicas mais lucrativas exigiam operadores experientes e acesso sustentado e persistente, o que significava que ser detectado poderia prejudicar operações que exigiam um investimento de tempo significativo.
Ransomware mudou o jogo. Essa nova e brutal técnica de monetização era comparativamente rápida e simples. O ransomware inicial não exigia o mesmo entendimento da rede da vítima, não exigia muita cautela ou anti-forense e oferecia pagamento imediato e direto sem depender de revendedores do mercado negro. Com um ciclo de vida mais apertado, lucros mais altos e uma barreira de entrada muito menor, o ransomware estimulou um novo boom de crimes cibernéticos.
O dinheiro fácil atraiu invasores novos e menos sofisticados. Esses novos grupos se profissionalizaram com foco na escala sobre o ofício, e a escala trouxe a especialização. Agora sabemos que algumas operações espelhavam assustadoramente as estruturas corporativas de suas vítimas e que, como qualquer outra empresa fragmentada, elas ficavam de olho em novas oportunidades. No que é conhecido como a evolução do Ransomware 2.0, muitos grupos obtiveram sucesso com a chamada extorsão dupla, ameaçando a liberação pública de dados roubados em cima de sistemas de bloqueio. Isso espremeu mais dólares das vítimas e trouxe muitos novos pagadores de resgate, que não teriam capitulado por mera descriptografia, de volta à mesa.
O Futuro do Ransomware
Ainda estamos começando a entender o impacto no mundo real das sanções governamentais e proibições de pagamento, bem como mudanças relacionadas ao aumento da resiliência cibernética das vítimas e da guerra na Ucrânia . Embora esperemos frustrar os invasores com maior resistência às demandas de resgate, esses benefícios podem ser limitados a empresas com bons recursos e acesso a um forte suporte técnico e jurídico externo. Enquanto isso, os grupos de ameaças sancionados são criminosos profissionais e se esforçarão para proteger seus lucros.
Certamente veremos grupos refinarem a cartilha do ransomware. Podemos ver grupos desenvolvendo técnicas mais sofisticadas para dificultar a atribuição, diminuindo o impacto das listas de sanções. Já os vemos experimentando o manuseio de vítimas, incluindo “cenouras” como custos mais baixos, descriptografia mais segura e mais suporte; e “bastões”, como segmentação implacável da vítima, interrupção mais severa e táticas de intimidação mais personalizadas.
Estamos nos estágios iniciais da evolução do Ransomware 3.0, mas esperamos ver mais pivôs no próprio modelo de monetização . Os invasores provavelmente revisitarão modelos anteriores ao boom do ransomware; eles já estão voltando a revender dados roubados em vez de (e além de) extorsão. Eles podem descarregar backdoors inativos após o incidente para revendedores e aproveitar oportunidades de roubo direto. Sabemos que eles já estão experimentando vários esquemas de criptomoedas diferentes, incluindo o uso de sistemas das vítimas como fazendas de mineração e bombas e despejos habilitados para negação de serviço, e estão procurando ativamente mais novas sinergias de ransomware de criptografia.
Construindo melhores defesas
Conselhos e líderes seniores agora reconhecem ataques de ransomware disruptivos e de alto perfil como um risco operacional e estratégico. Assim como os invasores respondem à nova pressão, a pressão da diligência business-to-business, das operadoras de seguros cibernéticos e da liderança experiente está fazendo com que muitas organizações redefinirem seus esforços.
Taticamente, é hora de usar o Band-Aid para projetos de alto atrito, como autenticação multifator, gerenciamento de acesso privilegiado e fechamento de interfaces externas como RDP. Apesar das evidências contundentes de que essas iniciativas dificultam os ataques de ransomware, as organizações geralmente resistem à sua desconfortável curva de aprendizado. Mas esse desconforto é temporário e o risco de atraso é muito real. Defender essa mudança de cultura é a alavanca de resiliência cibernética mais impactante para os líderes seniores hoje.
Estrategicamente, as organizações precisam adotar a resiliência como um alvo em movimento. A maioria das empresas não precisa de recursos de ponta, mas precisa de melhorias contínuas e ponderadas. A segurança cibernética definida e esquecida rapidamente se torna obsoleta e mal equipada para lidar com grupos dinâmicos de ameaças, o que também aumenta o risco. Os líderes devem se apoiar em terceiros com uma visão panorâmica do cenário de brechas para construir roteiros eficazes. Preste atenção quando os subscritores de seguros, fornecedores, agências governamentais e profissionais cibernéticos concordarem com os controles e recursos críticos.
De maneira mais ampla, os invasores prosperam em nosso instinto de manter as lições e as cicatrizes das violações ocultas. Mudar para um fórum mais aberto não apenas para compartilhar inteligência de ameaças, mas para compartilhar o verdadeiro impacto das violações, por que as defesas falharam e como respondemos, pode ser um multiplicador de força de resiliência em todos os setores. O modelo de ransomware passa fome sem escala; tornar a resiliência efetiva mais acessível fecha a porta para possíveis alvos e atrapalha os invasores mais do que qualquer outra coisa.
FONTE: DARK READING