0
0
O ransomware é a ameaça de segurança cibernética mais significativa que as organizações enfrentam atualmente. Mas, recentemente, líderes da Agência de Segurança Nacional e do FBI indicaram que os ataques diminuíram durante o primeiro semestre de 2022. A combinação de sanções à Rússia, de onde se originam muitas gangues de criminosos cibernéticos, e a queda dos mercados de criptomoedas pode ter tido um efeito, dificultando para que gangues de ransomware extraiam fundos e recebam seus pagamentos.
Mas ainda não estamos fora de perigo . Apesar de uma queda temporária, o ransomware não está apenas prosperando, mas também evoluindo. Hoje, o ransomware como serviço (RaaS) evoluiu de um modelo automatizado e comoditizado, baseado em kits de exploração pré-empacotados, para uma operação comercial sofisticada, altamente direcionada e operada por humanos. Isso é motivo para empresas de qualquer tamanho se preocuparem.
Tornando-se RaaS
É amplamente conhecido que os cibercriminosos de hoje estão bem equipados, altamente motivados e muito eficazes. Eles não ficaram assim por acaso e não permaneceram tão eficazes sem evoluir continuamente suas tecnologias e metodologias . A motivação do ganho financeiro maciço tem sido a única constante.
Os primeiros ataques de ransomware eram ataques simples e baseados em tecnologia. Os ataques aumentaram o foco nos recursos de backup e restauração, o que levou os adversários a procurar backups online e criptografá-los também durante um ataque. O sucesso do invasor levou a resgates maiores, e as maiores demandas de resgate tornaram menos provável que a vítima pagasse e mais provável que a aplicação da lei se envolvesse. Gangues de ransomware responderam com extorsão. Eles fizeram a transição não apenas para a criptografia de dados, mas também para a exfiltração e a ameaça de tornar públicos os dados frequentemente confidenciais dos clientes ou parceiros da vítima, introduzindo um risco mais complexo de danos à marca e à reputação. Hoje, não é incomum que invasores de ransomware procurem uma vítima’
Também vimos ataques de ransomware menos disciplinados (mas igualmente prejudiciais). Por exemplo, optar por pagar um resgate em troca também identifica a vítima como um ajuste confiável para um ataque futuro, aumentando a probabilidade de ser atingida novamente, pela mesma ou por uma gangue de ransomware diferente. Pesquisas estimam que entre 50% a 80% (PDF) das organizações que pagaram um resgate sofreram um ataque repetido.
À medida que os ataques de ransomware evoluíram, também evoluíram as tecnologias de segurança, especialmente nas áreas de identificação e bloqueio de ameaças. Antiphishing, filtros de spam, antivírus e tecnologias de detecção de malware foram todos ajustados para lidar com ameaças modernas para minimizar a ameaça de um comprometimento por meio de e-mail, sites maliciosos ou outros vetores de ataque populares.
Esse proverbial jogo de “gato e rato” entre adversários e provedores de segurança que oferecem melhores defesas e abordagens sofisticadas para impedir ataques de ransomware levou a uma maior colaboração dentro dos círculos cibercriminosos globais. Assim como os arrombadores de cofres e especialistas em alarmes usados em roubos tradicionais, os especialistas em desenvolvimento de malware, acesso à rede e exploração estão impulsionando os ataques atuais e criando condições para a próxima evolução do ransomware .
O modelo RaaS hoje
O RaaS evoluiu para se tornar uma operação sofisticada, liderada por humanos, com um modelo de negócios complexo de compartilhamento de lucros. Um operador de RaaS que pode ter trabalhado independentemente no passado agora contrata especialistas para aumentar as chances de sucesso.
Um operador de RaaS – que mantém ferramentas específicas de ransomware, se comunica com a vítima e protege os pagamentos – agora trabalhará frequentemente ao lado de um hacker de alto nível, que realizará a própria invasão. Ter um invasor interativo dentro do ambiente de destino permite a tomada de decisões ao vivo durante o ataque. Trabalhando juntos, eles identificam pontos fracos específicos na rede, aumentam privilégios e criptografam os dados mais confidenciais para garantir pagamentos. Além disso, eles realizam reconhecimento para localizar e excluir backups online e desabilitar ferramentas de segurança. O hacker contratado muitas vezes trabalhará ao lado de um agente de acesso, que é responsável por fornecer acesso à rede por meio de credenciais roubadas ou mecanismos de persistência que já estão em vigor.
Os ataques resultantes dessa colaboração de especialistas têm a sensação e a aparência de ataques avançados no estilo de ameaça persistente “antiquada”, patrocinados pelo Estado, mas são muito mais prevalentes.
Como as organizações podem se defender
O novo modelo RaaS operado por humanos é muito mais sofisticado, direcionado e destrutivo do que os modelos RaaS do passado, mas ainda existem práticas recomendadas que as organizações podem seguir para se defender.
As organizações devem ser disciplinadas sobre sua higiene de segurança. A TI está sempre mudando e sempre que um novo endpoint é adicionado ou um sistema é atualizado, ele tem o potencial de introduzir uma nova vulnerabilidade ou risco. As equipes de segurança devem permanecer focadas nas melhores práticas de segurança: aplicação de patches, uso de autenticação multifator, aplicação de credenciais fortes, verificação de credenciais comprometidas na Dark Web, treinamento de funcionários sobre como identificar tentativas de phishing e muito mais. Essas práticas recomendadas ajudam a reduzir a superfície de ataquee minimizar o risco de que um agente de acesso seja capaz de explorar uma vulnerabilidade para obter acesso. Além disso, quanto mais forte a higiene de segurança de uma organização, menos “ruído” haverá para os analistas classificarem no centro de operações de segurança (SOC), permitindo que eles se concentrem na ameaça real quando identificada.
Além das práticas recomendadas de segurança, as organizações também devem garantir que tenham recursos avançados de detecção e resposta a ameaças. Como os agentes de acesso gastam tempo realizando reconhecimento na infraestrutura da organização, os analistas de segurança têm a oportunidade de detectá-los e interromper o ataque em seus estágios iniciais — mas somente se tiverem as ferramentas certas. As organizações devem procurar soluções estendidas de detecção e resposta que possam detectar e correlacionar a telemetria de eventos de segurança em seus terminais, redes, servidores, sistemas de e-mail e nuvem e aplicativos. Eles também precisam da capacidade de responder onde quer que o ataque seja identificado para desligá-lo rapidamente. Grandes empresas podem ter esses recursos integrados em seu SOC,
Apesar do recente declínio nos ataques de ransomware, os profissionais de segurança não devem esperar que a ameaça seja extinta tão cedo. O RaaS continuará a evoluir , com as mais recentes adaptações substituídas por novas abordagens em resposta às inovações de segurança cibernética. Mas com foco nas melhores práticas de segurança combinadas com as principais tecnologias de prevenção, detecção e resposta a ameaças, as organizações se tornarão mais resilientes contra ataques.
FONTE: DARK READING