Ransomware é um termo cada vez mais comum nas notícias em todo mundo. Se trata do ataque cibernético que confisca dados em troca de resgates financeiros e vem crescendo exponencialmente nos últimos anos.
De acordo com o recente informe Análise do Ecossistema de Ransomware, a ascensão do ransomware tem sido impulsionada por gangues de criminosos cibernéticos que operam como startups. Tudo isso por meio de um modelo de negócios incrível envolvendo múltiplos atores, estratégias de marketing e atendimento ao cliente, tornando-a sua própria indústria auto-sustentável para obter o máximo de “vendas” – os ataques.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Neste cenário, as vítimas são consideradas “clientes”. A indústria do ransomware é considerada hoje em dia uma das mais lucrativas do mundo.
Somente em 2020, esses grupos de ransomware ganharam US$ 692 milhões com ataques coletivos, quase cinco vezes mais do que nos seis anos anteriores juntos. Agora, a cibersegurança precisa estar presente em todos os lugares.
Recentemente, foi descoberto que os criminosos fornecem cartilhas aos afiliados para aplicarem as táticas de ataques em cadeia, como visto na descoberta de um manual do grupo de ransomware Conti. Eles faturaram – pasmem! – mais de US$ 180 milhões em ataques desde quando foi criado, em 2020.
Identificar o funcionamento desses grupos é fundamental para diminuir o risco. A partir do refinamento da atuação desses grupos, destacamos seis vetores de ataques principais utilizados por eles para operar contra suas vítimas. Veja:
Spear phishing: o método mais comum para invadir as organizações é por meio do spear phishing, em que os cibercriminosos enviam e-mails que incluem anexos maliciosos ou links para sites externos que hospedam malware. O malware usado nesses ataques não é o ransomware em si, mas sim um trojan projetado para baixar componentes secundários e terciários. Esses componentes adicionais de malware levarão, em última análise, a uma carga de ransomware.
Protocolo de desktop remoto: as instâncias RDP - que permitem aos usuários acessar suas áreas de trabalho sem estar fisicamente próximos de seus computadores - são outra maneira popular que os afiliados de ransomware utilizam para atingir organizações. Como estas instâncias são publicamente acessíveis, os invasores podem usar scripts para tentar forçar seu caminho para esses sistemas, direcionando senhas fracas ou usando uma combinação conhecida de senhas padrão.
Exploração de vulnerabilidades: As vulnerabilidades de software desempenham um papel fundamental na facilitação de ataques de ransomware por várias vias, que incluem fragilidades usadas como parte de documentos maliciosos, vulnerabilidades encontradas em dispositivos de perímetro, como SSL-VPNs (Secure Socket Layer Virtual Private Networks), bem como uma infinidade de falhas projetadas para elevar privilégios dentro da rede de uma organização.
Compra de acesso de IABs (Initial Access Brokers): Os IABs fornecem aos afiliados de ransomware uma maneira de economizar tempo para obter acesso a uma organização que já foi comprometida. Eles fazem o reconhecimento e o trabalho inicial utilizando alguns dos vetores identificados acima, desde o envio de e-mails de spear phishing até a exploração de vulnerabilidades e a força bruta de sistemas RDP fracos. Esses esforços tornam o papel dos IABs inestimável no ecossistema de ransomware.
Comprometimento de terceiros: terceiros fornecem um vetor de ataque adicional para o ransomware. Em julho de 2021, uma afiliada do ransomware REvil explorou várias vulnerabilidades de zero-day no Virtual System Administrator (VSA) da Kaseya – uma desenvolvedora de softwares – para solicitar resgates a empresas que fazem parceria com MSPs para administração remota de seus sistemas. Vulnerabilidade de zero-day é quando hackers encontram uma falha de segurança em um sistema ou software antes mesmo dos desenvolvedores terem conhecimento sobre ela.
Recrutamento de insiders dentro de empresas e governos: embora sejam tão noticiados, os grupos de ransomware fizeram ofertas explícitas a membros de organizações e agências governamentais para ajudar a facilitar ataques de ransomware.Nesses casos, os próprios insiders são outro tipo de afiliado. Por exemplo, o grupo de ransomware LockBit 2.0 ofereceu "milhões de dólares" a insiders que forneceriam credenciais para contas de e-mail corporativas, RDPs e VPNs ou estavam dispostos a auto-infectar seus dispositivos corporativos com malware. Mais recentemente, em maio deste ano, o grupo de ransomware Conti alegou ter insiders dentro do governo da Costa Rica auxiliando em seus ataques contra o país.
Uma vez expostos esses principais vetores de ataque dos grupos de ransomware, gostaria de trazer valiosas recomendações para a proteção essencial dos sistemas das empresas:
A primeira recomendação é utilizar a autenticação multifatorial para todas as contas dentro de sua organização: grupos de ransomware compram acesso a organizações através de IABs que fornecem credenciais ou exploram vulnerabilidades que revelam credenciais de login. Adicionando autenticação multifatorial como um requisito, automaticamente se adiciona outra camada extra para os atacantes de ransomware terem que superar.
Em segundo lugar, exija o uso de senhas fortes para contas: as senhas fracas ou padrão facilitam o acesso de grupos de ransomware às contas. Dificulte o caminho dos invasores, garantindo que os requisitos de senha incluam palavras longas e não usuais, mescladas com números e sinais.
O terceiro conselho é identificar e corrigir ativos vulneráveis em sua rede em tempo hábil: sabemos que os grupos de ransomware são adeptos a aproveitar vulnerabilidades não corrigidas e legados, por isso é importante que as organizações identifiquem ativos vulneráveis em suas redes e apliquem patches disponíveis.
Por fim, implemente o treinamento de conscientização de segurança para educar seus funcionários sobre vetores comuns de ataque: invasões de engenharia social, incluindo spear phishing por meio de e-mail ou redes sociais.
Ao fornecer treinamento de conscientização e confiança digital do usuário, os funcionários saberão como identificar vetores comuns de ataque usados por cibercriminosos, e poderão, assim desempenhar um papel importante na proteção de suas redes.
Gostou do conteúdo? Então, continue acompanhando o TecMundo para ficar or dentro desse e outros assuntos importantíssimos para a segurança da sua empresa!
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Categorias
