A Akamai, uma empresa que se dedica a fornecer serviços de nuvem e segurança para fortalecer e proteger as atividades online das pessoas, lançou recentemente um novo relatório intitulado “State of the Internet – Ransomware à espreita: as técnicas de exploração e a busca ativa por zero-days”. Esse relatório tem o propósito de destacar a situação em constante mudança dos ataques de ransomware, bem como as novas estratégias empregadas pelos indivíduos que realizam esses ataques para chantagear as empresas que acabam sendo alvo de suas investidas.
De acordo com as conclusões obtidas por meio desse estudo, observou-se um aumento na prática dos grupos que executam ransomware em utilizar uma tática denominada “exfiltração de arquivos”. Essa técnica envolve a ação de retirar, de forma não autorizada, informações confidenciais de uma organização ou realizar a transferência desses dados.
Tal abordagem emergiu como a principal forma de extorsão, uma vez que a divulgação desses dados confidenciais pode incluir dados sensíveis, como nomes de usuários, senhas, endereços de e-mail, além de documentos valiosos pertencentes à empresa.
Fernando Ceolin, Diretor Regional do Brasil e América do Sul na Akamai, afirma que essa nova tática indica que as soluções de backup de arquivos não são mais uma estratégia suficiente para proteger contra ransomware.
“É necessário adotar técnicas de micro segmentação pois ao separar os controles de segurança da infraestrutura subjacente, pode-se evitar e remediar futuros problemas. Isolando a máquina, é possível reduzir notavelmente os danos que seriam causados se o malware se propagasse por toda a infraestrutura do cliente”.
Ainda de acordo com o relatório, as organizações com receita declarada de até 50 milhões de dólares corresponderam a 65% das mais afetadas pelos atacantes durante o período estudado, enquanto as organizações com receita declarada acima de 500 milhões de dólares representaram 12% do total de vítimas. Além disso, as vítimas de diversos ataques de ransomware tiveram seis vezes mais chances de sofrer o segundo ataque dentro de três meses após o primeiro, e já temos exemplos de reincidência no Brasil.
Outro dado importante trazido pelo estudo foi dos setores mais visados pelos ataques de ransomware. De todos os setores, a fabricação teve um aumento de 42% no total de vítimas entre outubro de 2021 e dezembro de 2022, destacando a ameaça potencial para as cadeias globais de fornecimento. O setor de serviços financeiros teve um aumento de 50% no número total de organizações afetadas anualmente, enquanto o setor de fabricação no setor de varejo ocupa o terceiro lugar com um aumento de 9% no número de empresas vítimas de ransomware por setor.
O LockBit foi responsável por 41% dos ataques gerais ao setor de fabricação. O setor de saúde também observou um aumento de 39% nas vítimas durante o mesmo período e foi alvo principalmente dos grupos de ransomware ALPHV (também conhecidos como BlackCat) e LockBit.
Exploração Avançada e Rastreamento de Vulnerabilidades Recém-Descobertas
Quando um software é invadido por um tipo de programa malicioso antes que o criador do software esteja ciente desse ataque, isso é chamado de “vulnerabilidade Zero Day”. Isso se refere a vulnerabilidades específicas que são conhecidas apenas pelos atacantes, uma vez que os especialistas em segurança ainda não desenvolveram maneiras de detectá-las eficazmente. Os invasores, ao buscar novas maneiras de realizar seus ataques, exploram essas vulnerabilidades Zero Day e as falhas que elas criam no sistema.
O relatório mais recente da Akamai, intitulado “State of the Internet”, revelou que o uso dessas vulnerabilidades de dia zero levou a um aumento de 143% no número total de vítimas de ransomware entre o início de 2022 e o início de 2023.
O relatório também mostra que os criminosos cibernéticos estão aprimorando suas táticas e estratégias, especialmente no que diz respeito a ataques de phishing, para destacar o uso dessas vulnerabilidades. Eles estão combinando diferentes métodos de ataque. À medida que esses criminosos mudam suas abordagens, o grupo de ransomware LockBit emergiu como o líder nesse cenário. Entre janeiro de 2021 e junho de 2023, eles foram responsáveis por 39% de todas as vítimas de ransomware, mais que o triplo do segundo grupo mais ativo, conhecido como “Black Basta”.
Uma análise mais profunda revela que o grupo de ransomware CL0P está intensificando seus esforços para explorar vulnerabilidades de dia zero, resultando em um aumento de nove vezes no número de vítimas a cada ano. De acordo com as informações de Ceolin, os criminosos por trás desses ataques de ransomware continuam a atualizar suas técnicas e estratégias para visar o cerne das operações das organizações. Seu objetivo é paralisar essas operações e extrair informações cruciais e confidenciais.
Como as empresas podem se proteger do ransomware
Para combater ataques de ransomware é recomendado que além de realizar o backup regular, manter os sistemas operacionais, aplicativos e software de segurança sempre atualizados, utilizar de filtros de e-mail para bloquear anexos ou links suspeitos e realizar o monitoramento do tráfego de rede, em especial o tráfego interno, as empresas também adotem ferramentas de segmentação e isolamento da rede a fim de separar redes e/ou aplicações críticas ou sensíveis de outras partes da rede para limitar a propagação do ransomware em caso de infecção.
Desta forma é possível manter a infraestrutura da organização sem que ela seja totalmente comprometida durante um ataque e perca sua funcionalidade durante aquele período. O diretor completa: “É fundamental que as organizações compreendam as técnicas e as ferramentas utilizadas pelos adversários para proteger seus ativos críticos, e documentar e controlar os fluxos normais de comunicação de suas aplicações para preservar a confiança em sua marca e garantir a continuidade dos negócios”.
