0
0
Os incidentes de ransomware estão aumentando e esta semana não se mostrou exceção, com a descoberta de uma família de ransomware baseada em Linux chamada Cheerscrypt visando servidores VMware ESXi e um ataque à SpiceJet, segunda maior companhia aérea da Índia.
Enquanto isso, uma variante estranha de “GoodWill” pretende ajudar os necessitados.
A variante do ransomware Cheerscrypt foi descoberta pela Trend Micro e conta com o esquema de dupla extorsão para coagir as vítimas a pagar o resgate – ou seja, roubar dados também e ameaçar vazá-los se as vítimas não pagarem.
Devido à popularidade dos servidores ESXi para criar e executar várias máquinas virtuais (VMs) em configurações corporativas, o ransomware Cheerscrypt pode ser atraente para atores mal-intencionados que procuram distribuir rapidamente ransomware em muitos dispositivos.
Enquanto isso, a operadora de baixo custo SpiceJet enfrentou um ataque de ransomware esta semana, causando atrasos de voo entre duas e cinco horas, além de tornar sistemas de reserva on-line indisponível e portais de atendimento ao cliente.
Embora a equipe de TI da empresa tenha anunciado no Twitter que havia evitado com sucesso a tentativa de ataque antes de ser capaz de violar totalmente todos os sistemas internos e assumi-los, clientes e funcionários ainda estão experimentando as ramificações.
GoodWill: O Altruistic Ransomware
Depois há isso: pesquisadores da CloudSEK anunciaram esta semana que descobriram um grupo de ransomware robin hood-esque chamado GoodWill, que exige que suas vítimas realizem três atos de caridade em troca de uma chave de descriptografia.
O GoodWill foi descoberto em março e usa um worm ransomware que criptografa documentos e bancos de dados — entre outros arquivos importantes — e os torna inacessíveis sem a chave de descriptografia.
As ações de caridade que são aceitas incluem levar crianças pobres para restaurantes de fast-food, doar roupas para os sem-teto e prestar assistência financeira a quem precisa de cuidados médicos. Essas ações devem ser apoiadas por fotos postadas nas redes sociais, exige a quadrilha.
Empresas lutam para acompanhar os ataques em evolução
A onda de ataques de ransomware desta semana não indicou um padrão claro, mas é um pouco mais semelhante aos esforços de um departamento de marketing e vendas, diz Stan Black, CISO da Delinea, um provedor de soluções privilegiadas de gerenciamento de acesso.
“Pense nisso: eles colhem suas informações, alteram sua entrega de métodos, eles continuam voltando até que você morda, e quando eles te pegam no gancho, eles exigem um resgate”, diz ele ao Dark Reading. Eles não são regulamentados, não respondem a advogados, um conselho ou auditores, e não se importam com que negócios ou vidas eles arruinam.”
Black ressalta que é preciso haver um reconhecimento de que atores mal-intencionados sabem mais sobre operações de TI do que as organizações pensam que sabem.
“Durante 24 horas por dia, eles estão engatinhando cada faceta da nossa pegada digital e trilha de exaustão”, diz ele. “Através da automação, eles destilam nossa telemetria e criam a estratégia perfeita de ir ao mercado: um ataque cibernético. Hoje em dia, o ransomware está mirando nossa tecnologia de segurança de identidade e controle de acesso — a própria tecnologia que pensávamos que nos protegeria.”
Matthew Warner, CTO e co-fundador da Blumira, fornecedora de tecnologia automatizada de detecção e resposta a ameaças, diz que é extremamente importante que as organizações se concentrem em detectar os três primeiros passos de um ataque de ransomware: descoberta, ganhar espaço e aumentar privilégios.
“A detecção, além de estar ciente dos dados que você detém, permitirá que você responda rapidamente aos ataques e, na pior das hipóteses, tenha certeza do manuseio pós-exploração de um evento de ransomware”, diz ele ao Dark Reading.
Ele acrescenta que, daqui para frente, também fica mais claro que o tempo para responder e patch foi reduzido, até horas no máximo.
“Avaliar sua superfície de ataque exposta deve ser o primeiro item da sua lista, para garantir que sua infraestrutura esteja protegida”, diz Warner.
Relatório DBIR encontra ataques de ransomware balonismo
A Verizon também publicou seu 15º “Relatório anual de Investigações de Violação de Dados” (DBIR), esta semana, que destacou o surgimento do ransomware-as-a-service (RaaS) como um dos fatores por trás do número de incidentes de ransomware.
O relatório, que analisou 23.896 incidentes de segurança — dos quais 5.212 foram violações confirmadas — descobriu que o software de phishing e compartilhamento de desktops era o mais comum.
No geral, o ransomware é responsável por 25% do total de violações, e esteve presente em 70% das violações de malware este ano.
Do ponto de vista da Warner, as técnicas de ransomware não evoluíram necessariamente, mas, sim, expandiram-se nos últimos cinco anos. Por exemplo, anteriormente, apenas certos grupos teriam a capacidade de realizar ataques avançados que aproveitam zero-dias dentro de dias após o lançamento. Agora, não é mais necessário encontrar o seu próprio.
“Agora vemos operadores de ransomware comprando ou identificando seus zero-dias e aproveitando zero-dias o mais rápido possível dentro de suas campanhas”, observa.
A Warner também ressalta que os operadores de ransomware estão aproveitando melhorias de ferramentas como o Cobalt Strike, permitindo sua evolução em um ciclo virtuoso: mais fundos permitem melhor ferramentas, processos e execução em todo o ambiente, o que leva a mais fundos.
Isso também abre o caminho para as gangues expandirem suas equipes, também.
“A capacidade de realizar ataques passivos de phishing, ao mesmo tempo em que ataca ativamente a infraestrutura vulnerável com uma equipe de hackers pagos, cria um ambiente único e poderoso para os operadores de ransomware”, explica.
FONTE: DARK READING