Os cibercriminosos estão se tornando mais estratégicos e profissionais em relação ransomware. Eles estão cada vez mais imitando a forma como as empresas legítimas operam, inclusive aproveitando uma crescente cadeia de fornecimento de crime cibernético como serviço.
Este artigo descreve quatro tendências principais de ransomware e fornece conselhos sobre como evitar ser vítima desses novos ataques.
1. IABs em ascensão
O cibercrime está a tornar-se mais rentável, como evidenciado pelo crescimento de corretores de acesso inicial (IABs) especializados em violar empresas, roubar credenciais e vender esse acesso a outros atacantes. Os IABs são o primeiro elo na cadeia de destruição do crime cibernético como serviço, uma economia paralela de serviços prontos para uso que qualquer criminoso em potencial pode adquirir para construir cadeias de ferramentas sofisticadas para executar quase qualquer crime digital imaginável.
Os principais clientes dos IABs são operadores de ransomware, que estão dispostos a pagar pelo acesso a vítimas já prontas enquanto concentram seus próprios esforços na extorsão e na melhoria de seu malware.
Em 2021, foram mais de 1,300 listagens IAB nos principais fóruns de crimes cibernéticos monitorados pelo KELA Cyber Intelligence Center, com quase metade proveniente de 10 IABs. Na maioria dos casos, o preço do acesso ficou entre US$ 1,000 e US$ 10,000, com um preço médio de venda de US$ 4,600. De todas as ofertas disponíveis, credenciais VPN e acesso de administrador de domínio estavam entre a mais valiosa.
2. Ataques sem arquivo passam despercebidos
Os cibercriminosos estão se inspirando nas ameaças persistentes avançadas (APT) e nos invasores do estado-nação, empregando técnicas de vida fora da terra (LotL) e sem arquivo para melhorar suas chances de escapar da detecção e implantar ransomware com sucesso.
Esses ataques utilizam ferramentas de software legítimas e publicamente disponíveis, frequentemente encontradas no ambiente de um alvo. Por exemplo, 91% dos Ransomware DarkSide os ataques envolveram ferramentas legítimas, com apenas 9% usando malware, de acordo com um relatório pela Picus Segurança. Foram descobertos outros ataques que eram 100% sem arquivo.
Dessa forma, os agentes de ameaças evitam a detecção evitando indicadores “conhecidos como ruins”, como nomes de processos ou hashes de arquivos. As listas de permissão de aplicativos, que permitem o uso de aplicativos confiáveis, também não conseguem restringir usuários mal-intencionados, especialmente para aplicativos onipresentes.
3. Grupos de ransomware visando alvos discretos
O alto perfil Oleoduto Colonial O ataque de ransomware em maio de 2021 afetou infraestruturas críticas tão severamente que desencadeou uma crise internacional e principal resposta do governo.
Esses ataques que chegam às manchetes exigem escrutínio e esforços concertados por parte das agências de aplicação da lei e de defesa para agirem contra os operadores de ransomware, levando à interrupção de operações criminosas, bem como a detenções e processos judiciais. A maioria dos criminosos prefere manter suas atividades fora do radar. Dado o número de alvos potenciais, os operadores podem dar-se ao luxo de ser oportunistas e, ao mesmo tempo, minimizar o risco para as suas próprias operações. Os atores de ransomware tornaram-se muito mais seletivos no direcionamento às vítimas, possibilitado pelos dados detalhados e granulares fornecidos pelos IABs.
4. Pessoas de dentro ficam tentadas com um pedaço da torta
Os operadores de ransomware também descobriram que podem recrutar funcionários desonestos para ajudá-los a obter acesso. A taxa de conversão pode ser baixa, mas o retorno pode valer o esforço.
A pesquisa da Hitachi ID realizada entre 7 de dezembro de 2021 e 4 de janeiro de 2022, descobriu que 65% dos entrevistados disseram que seus funcionários foram abordados por agentes de ameaças para ajudar a fornecer acesso inicial. Os insiders que mordem a isca têm diferentes razões para estarem dispostos a trair as suas empresas, embora a insatisfação com o seu empregador seja o motivador mais comum.
Seja qual for o motivo, as ofertas feitas por grupos de ransomware podem ser tentadoras. Na pesquisa da Hitachi ID, 57% dos funcionários contatados receberam ofertas de menos de US$ 500,000 mil, 28% receberam ofertas entre US$ 500,000 mil e US$ 1 milhão e 11% receberam ofertas de mais de US$ 1 milhão.
Passos práticos para melhorar a proteção
As táticas em evolução discutidas aqui aumentam a ameaça dos operadores de ransomware, mas existem medidas que as organizações podem tomar para se protegerem:
- Siga as práticas recomendadas de confiança zero, como autenticação multifator (MFA) e acesso com privilégios mínimos, para limitar o impacto de credenciais comprometidas e aumentar a chance de detectar atividades anômalas.
- Concentre-se em mitigar ameaças internas, uma prática que pode ajudar a limitar ações maliciosas não apenas por parte dos funcionários, mas também de atores externos (que, afinal, parecem ser pessoas internas depois de obterem acesso).
- Conduza caças regulares a ameaças, o que pode ajudar a detectar ataques sem arquivo e atores de ameaças trabalhando para escapar de suas defesas antecipadamente.
Os invasores estão sempre procurando novas maneiras de se infiltrar nos sistemas das organizações, e as novas manobras que vemos certamente aumentam as vantagens que os cibercriminosos têm sobre as organizações que não estão preparadas para ataques. No entanto, as organizações estão longe de estar indefesas. Ao seguir as etapas práticas e comprovadas descritas neste artigo, as organizações podem tornar a vida muito difícil para IABs e grupos de ransomware, apesar de sua nova gama de táticas.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
