O número de organizações que se tornaram vítimas de ataques de ransomware aumentou 143% entre o primeiro trimestre de 2022 e o primeiro trimestre deste ano, à medida que os invasores aproveitaram cada vez mais vulnerabilidades de dia zero e falhas de um dia para invadir as redes de destino.
Em muitos desses ataques, os agentes de ameaças não se preocuparam em criptografar os dados pertencentes às organizações vítimas. Em vez disso, eles se concentraram apenas em roubar seus dados confidenciais e extorquir as vítimas, ameaçando vender ou vazar os dados para outras pessoas. A tática deixou até mesmo aqueles com processos robustos de backup e restauração em um canto.
Um surto de vítimas
Pesquisadores da Akamai descobriram as tendências quando analisaram recentemente dados coletados de sites de vazamento pertencentes a 90 grupos de ransomware. Os sites de vazamento são locais onde os grupos de ransomware geralmente divulgam detalhes sobre seus ataques, vítimas e quaisquer dados que possam ter criptografado ou exfiltrado.
A análise da Akamai mostrou que várias noções populares sobre ataques de ransomware não são mais totalmente verdadeiras. Um dos mais significativos, segundo a empresa, é a mudança do phishing como vetor de acesso inicial para a exploração de vulnerabilidades. A Akamai descobriu que vários dos principais operadores de ransomware estão focados em adquirir vulnerabilidades de dia zero – por meio de pesquisa interna ou adquirindo-as de fontes do mercado cinza – para usar em seus ataques.
Um exemplo notável é o grupo de ransomware Cl0P, que abusou de uma vulnerabilidade de injeção SQL de dia zero no software GoAnywhere da Fortra ( CVE-2023-0669 ) no início deste ano para invadir várias empresas de alto nível. Em maio, o mesmo agente de ameaças abusou de outro bug de dia zero que descobriu – desta vez no aplicativo de transferência de arquivos MOVEIt da Progress Software ( CVE-2023-34362 ) – para se infiltrar em dezenas de grandes organizações em todo o mundo. A Akamai descobriu que a contagem de vítimas do Cl0p aumentou nove vezes entre o primeiro trimestre de 2022 e o primeiro trimestre deste ano, depois que começou a explorar bugs de dia zero.
Embora o aproveitamento de vulnerabilidades de dia zero não seja particularmente novo, a tendência emergente entre os agentes de ransomware de usá-los em ataques em larga escala é significativa, disse a Akamai.
“Particularmente preocupante é o desenvolvimento interno de vulnerabilidades de dia zero”, diz Eliad Kimhy, chefe da equipe CORE da pesquisa de segurança da Akamai. “Vemos isso com o Cl0p com seus dois principais ataques recentes e esperamos que outros grupos sigam o exemplo e aproveitem seus recursos para comprar e obter esses tipos de vulnerabilidades”.
Em outros casos, grandes grupos de ransomware, como LockBit e ALPHV (também conhecido como BlackCat), causaram estragos ao pular sobre vulnerabilidades recém-divulgadas antes que as organizações tivessem a chance de aplicar a correção do fornecedor para elas. Exemplos dessas vulnerabilidades do “primeiro dia” incluem as vulnerabilidades do PaperCut de abril de 2023 (CVE-2023-27350 e CVE-2023-27351) e vulnerabilidades nos servidores ESXi da VMware que o operador da campanha ESXiArgs explorou.
Mudando da criptografia para a exfiltração
A Akamai também descobriu que alguns operadores de ransomware – como aqueles por trás da campanha BianLian – mudaram inteiramente da criptografia de dados para a extorsão por meio de roubo de dados . A razão pela qual a mudança é significativa é que, com a criptografia de dados, as organizações tiveram a chance de recuperar seus dados bloqueados se tivessem um processo de backup e restauração de dados robusto o suficiente. Com o roubo de dados, as organizações não têm essa oportunidade e, em vez disso, devem pagar ou arriscar que os agentes da ameaça vazem publicamente seus dados – ou pior, vendê-los para outros.
A diversificação das técnicas de extorsão é notável, diz Kimhy. “A exfiltração de dados começou como alavancagem adicional que, de certa forma, era secundária à criptografia de arquivos”, observa Kimhy. “Hoje vemos isso sendo usado como uma alavanca primária para extorsão, o que significa que o backup de arquivos, por exemplo, pode não ser suficiente.”
A maioria das vítimas no conjunto de dados da Akamai – cerca de 65% delas, na verdade – eram pequenas e médias empresas com receitas relatadas de até US$ 50 milhões. Organizações maiores, muitas vezes percebidas como os maiores alvos de ransomware, na verdade representam apenas 12% das vítimas. As empresas de manufatura sofreram uma porcentagem desproporcional dos ataques, seguidas por entidades de saúde e empresas de serviços financeiros. Significativamente, a Akamai descobriu que as organizações que sofrem um ataque de ransomware têm uma probabilidade muito alta de sofrer um segundo ataque três meses após o primeiro ataque.
É importante enfatizar que ainda é muito importante se defender contra o phishing, diz Kimhy. Ao mesmo tempo, as organizações precisam priorizar a correção de vulnerabilidades recém-divulgadas. Ele acrescenta: “[As] mesmas recomendações que temos feito ainda se aplicam, como entender o adversário, superfícies de ameaças, técnicas usadas, favorecidas e desenvolvidas e, particularmente, quais produtos, processos e pessoas você precisa desenvolver para parar um ataque de ransomware moderno.”
FONTE: DARKREADING