0
0
Em janeiro, policiais interromperam as operações do grupo cibercriminoso Hive, que lucrava com um modelo de negócios de ransomware como serviço (RaaS). Acredita-se que o Hive seja afiliado ao grupo de ransomware Conti, juntando-se a uma lista de outros grupos associados a ex-operadores do Conti, incluindo Royal, Black Basta e Quantum.
Os afiliados do RaaS estão em todo o mundo, assim como suas vítimas. Esses afiliados usam uma infinidade de táticas e técnicas diferentes. Neste artigo, abordarei o que o caso Hive nos diz sobre as tendências de RaaS, como ele se relaciona com a criptomoeda e como se defender contra grupos semelhantes.
Modus operandi da Hive
O Hive, como outros provedores de RaaS, escreveu um criptografador de ransomware, criou um domínio da dark web, anunciou seus serviços para afiliados e fóruns e permitiu que os usuários comprassem uma licença (para seus serviços) para configurar uma carga de ransomware e receber fundos de extorsão.
Os provedores de RaaS geralmente recebem uma parte dos lucros obtidos de forma ilícita – geralmente é uma divisão de 75/25, 80/20 ou 85/15 (o Hive era 80/20).
O Hive e todos os outros grupos de ransomware ainda usam criptomoeda para pagamentos de ransomware porque não têm fronteiras e são quase instantâneos. Não há conversões ou aprovações bancárias; é um sistema anônimo de transferência e envio instantâneo de fundos para todo o mundo. A criptomoeda também facilita a divisão do dinheiro extorquido das vítimas com outros usuários.
Com preço alto ou baixo, a criptomoeda é o melhor e mais eficaz caminho para os operadores de ransomware obterem fundos das vítimas. O preço da criptomoeda segue o caminho do Bitcoin (BTC). Se o BTC subir, a maioria dos outros também sobe. Por outro lado, se o preço cair, todo o resto segue.
Para explicar seu valor frequentemente volátil, quando os invasores violam uma vítima e exigem um resgate, eles simplesmente alteram a quantidade de criptomoeda que pedem com base no preço atual do token usado. Em outras palavras, os operadores baseiam o resgate no preço de conversão, não no preço do token. Por exemplo, se um grupo de ransomware quiser resgatar um negócio por US$ 50.000, ele o converterá no preço atual do token e pedirá esse valor.
Embora a maioria das criptomoedas seja rastreável, muitos operadores de ransomware cometem seus crimes de países com governos que tendem a olhar para o outro lado, especialmente se os ataques não visam o país de onde estão operando. Por exemplo, muitos operadores de ransomware da Europa Oriental e da Rússia colocam lógica no código de seu malware para localizar geograficamente a máquina da vítima. O malware será encerrado se estiver em um país que faz parte da Comunidade de Estados Independentes ( CIS ), permitindo que os operadores de ransomware nesses países implantem ransomware sem se preocupar tanto em serem presos (o Hive é um exemplo disso). Mas, para tentar se proteger de ser rastreado, os invasores ainda usam misturadores e moedas de privacidade para mascarar seus rastros.
O caso Hive é único porque uma operação conjunta global de autoridades federais de vários países trabalhou em conjunto para derrubar a infraestrutura de um grupo de ransomware. Isso foi possível principalmente porque a infraestrutura (servidores) do grupo Hive estava nos Estados Unidos, pelo menos parcialmente.
A operação – e outras remoções recentes de grupos de ransomware como REvil e DarkSide, para não mencionar várias afiliadas que usam outro ransomware – demonstra como os governos estão se tornando mais ofensivos para impedir esses agentes de ameaças. As agências de aplicação da lei e segurança cibernética perceberam que uma estratégia puramente defensiva não é a melhor abordagem para lidar com esse problema.
As afiliadas do grupo Hive atacaram organizações em todo o mundo. Um mapa dos países afetados fornecido pelo Departamento de Justiça dos Estados Unidos (USDOJ) mostrou que, sem surpresa, muito poucos países da CEI foram afetados. Em contraste, o grupo teve vítimas em quase todas as outras partes do globo.
Além disso, esses ataques usaram várias metodologias para violar as organizações. Isso ocorre porque diferentes afiliados têm táticas diferentes, mesmo dentro do mesmo grupo de ransomware. Cada grupo RaaS terá várias táticas e técnicas que podem ser implementadas de várias maneiras. Isso complica o desafio de se defender deles.
Configure a defesa em profundidade
Para profissionais de segurança, isso significa que uma boa postura defensiva deve ser holística e incluir mecanismos de defesa em profundidade.
Por exemplo, as afiliadas da Hive são conhecidas por violar organizações que usam o Remote Desktop Protocol (RDP) sem autenticação multifator (MFA), credenciais roubadas, campanhas de phishing e vulnerabilidades de software. Não existe uma solução única para lidar efetivamente com esses problemas; você precisaria de várias soluções trabalhando em sinergia para impedir os ataques.
Você precisaria implementar uma política para garantir que o MFA esteja em qualquer autenticação em sua rede (uma rede de confiança zero, idealmente), licença(s) multifator(is) se você não as tiver, segurança de e-mail e soluções de treinamento de phishing e um sistema de gerenciamento de patches com gerenciamento abrangente de ativos por trás dele. Isso é para resolver as técnicas conhecidas de um grupo RaaS.
Vamos pegar outro grupo, por exemplo: Cl0p. Eles são conhecidos por violar empresas de software e, em seguida, violar outras empresas que usam seu software – um ataque à cadeia de suprimentos com ransomware e/ou exfiltração de dados. Para se proteger desse tipo de ataque, sua postura defensiva deve ser abrangente e ter uma série de freios e contrapesos. Se uma solução falhar, idealmente, você deseja que outra detecte as falhas ou falsos positivos. Claro, estou falando de uma solução ideal.
Como a maioria das empresas não pode simplesmente gastar muito dinheiro em soluções, recomendo lidar com phishing e segurança de e-mail (com treinamento), a menos que haja um problema flagrante em sua segurança em outro lugar. Quase todos os agentes de ameaças disseminam malware por meio de e-mails de phishing e direcionamento – na verdade, é aqui que a maioria das violações começa, de acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2023 .
FONTE: HELP NET SECURITY