O ransomware é a ameaça de segurança cibernética mais significativa que as organizações enfrentam atualmente. Mas recentemente, líderes da Agência de Segurança Nacional e do FBI indicou que os ataques diminuíram durante o primeiro semestre de 2022. A combinação de sanções à Rússia, de onde se originam muitas gangues cibercriminosas, e a queda dos mercados de criptomoedas podem ter tido um efeito, tornando difícil para as gangues de ransomware extrair fundos e receber seus pagamentos.
BUT ainda não estamos fora de perigo. Apesar de uma queda temporária, o ransomware não está apenas prosperando, mas também evoluindo. Hoje, o ransomware como serviço (RaaS) evoluiu de um modelo automatizado e comoditizado, baseado em kits de exploração pré-empacotados, para uma operação comercial sofisticada, altamente direcionada e operada por humanos. Esse é o motivo de preocupação de empresas de qualquer tamanho.
Tornando-se RaaS
É amplamente conhecido que os cibercriminosos de hoje estão bem equipados, altamente motivados e muito eficazes. Eles não ficaram assim por acidente e não permaneceram tão eficazes sem continuamente evoluindo suas tecnologias e metodologias. A motivação de ganhos financeiros massivos tem sido a única constante.
Os primeiros ataques de ransomware foram ataques simples e baseados em tecnologia. Os ataques aumentaram o foco nos recursos de backup e restauração, o que levou os adversários a procurar backups on-line e criptografá-los também durante um ataque. O sucesso do invasor levou a resgates maiores, e as demandas de resgate maiores tornaram menos provável que a vítima pagasse e mais provável que as autoridades se envolvessem. Gangues de ransomware responderam com extorsão. Eles fizeram a transição não apenas para criptografar dados, mas também para exfiltrar e ameaçar tornar públicos os dados frequentemente confidenciais dos clientes ou parceiros das vítimas, introduzindo um risco mais complexo de danos à marca e à reputação. Hoje, não é incomum que invasores de ransomware procurem a apólice de seguro cibernético da vítima para ajudar a definir o pedido de resgate e tornar todo o processo (incluindo o pagamento) o mais eficiente possível.
Também vimos ataques de ransomware menos disciplinados (mas igualmente prejudiciais). Por exemplo, optar por pagar um resgate também identifica a vítima como uma pessoa confiável para um ataque futuro, aumentando a probabilidade de ela ser atacada novamente, pela mesma gangue de ransomware ou por uma gangue diferente. Estimativas de pesquisa entre 50% a% 80 (PDF) de organizações que pagaram resgate sofreram um ataque repetido.
À medida que os ataques de ransomware evoluíram, também evoluíram as tecnologias de segurança, especialmente nas áreas de identificação e bloqueio de ameaças. As tecnologias antiphishing, filtros de spam, antivírus e detecção de malware foram ajustadas para lidar com ameaças modernas e minimizar a ameaça de comprometimento por meio de e-mail, sites maliciosos ou outros vetores de ataque populares.
Este proverbial jogo de “gato e rato” entre adversários e fornecedores de segurança que oferecem melhores defesas e abordagens sofisticadas para impedir ataques de ransomware levou a uma maior colaboração dentro dos círculos globais de cibercriminosos. Assim como os arrombadores de cofres e os especialistas em alarmes usados em roubos tradicionais, os especialistas em desenvolvimento de malware, acesso à rede e exploração estão impulsionando os ataques e ameaças atuais. criou condições para a próxima evolução em ransomware.
O modelo RaaS hoje
O RaaS evoluiu para se tornar uma operação sofisticada liderada por humanos com um modelo de negócios complexo de participação nos lucros. Um operador RaaS que pode ter trabalhado de forma independente no passado agora contrata especialistas para aumentar as chances de sucesso.
Um operador RaaS – que mantém ferramentas específicas de ransomware, comunica-se com a vítima e protege os pagamentos – agora muitas vezes trabalhará ao lado de um hacker de alto nível, que realizará a própria invasão. Ter um invasor interativo dentro do ambiente alvo permite a tomada de decisões em tempo real durante o ataque. Trabalhando juntos, eles identificam pontos fracos específicos na rede, aumentam privilégios e criptografam os dados mais confidenciais para garantir pagamentos. Além disso, realizam reconhecimento para localizar e excluir backups online e desabilitar ferramentas de segurança. O hacker contratado muitas vezes trabalhará ao lado de um corretor de acesso, responsável por fornecer acesso à rede por meio de credenciais roubadas ou mecanismos de persistência já existentes.
Os ataques resultantes desta colaboração de especialistas têm a sensação e a aparência de ataques avançados e persistentes de estilo de ameaça “antiquados”, patrocinados pelo Estado, mas são muito mais prevalentes.
Como as organizações podem se defender
O novo modelo RaaS operado por humanos é muito mais sofisticado, direcionado e destrutivo do que os modelos RaaS do passado, mas ainda existem práticas recomendadas que as organizações podem seguir para se defenderem.
As organizações devem ser disciplinadas quanto à sua higiene de segurança. A TI está sempre mudando e sempre que um novo endpoint é adicionado ou um sistema é atualizado, há o potencial de introduzir uma nova vulnerabilidade ou risco. As equipes de segurança devem permanecer focadas nas melhores práticas de segurança: aplicação de patches, uso de autenticação multifator, aplicação de credenciais fortes, verificação de credenciais comprometidas na Dark Web, treinamento de funcionários sobre como detectar tentativas de phishing e muito mais. Esses as melhores práticas ajudam a reduzir a superfície de ataque e minimizar o risco de um corretor de acesso ser capaz de explorar uma vulnerabilidade para obter entrada. Além disso, quanto mais forte a higiene de segurança de uma organização, menos “ruído” haverá para os analistas analisarem no centro de operações de segurança (SOC), permitindo-lhes concentrar-se na ameaça real quando esta for identificada.
Além das melhores práticas de segurança, as organizações também devem garantir que possuem recursos avançados de detecção e resposta a ameaças. Como os corretores de acesso gastam tempo realizando reconhecimento na infraestrutura da organização, os analistas de segurança têm a oportunidade de identificá-los e interromper o ataque em seus estágios iniciais — mas somente se tiverem as ferramentas certas. As organizações devem procurar soluções estendidas de detecção e resposta que possam detectar e correlacionar telemetria de eventos de segurança em seus endpoints, redes, servidores, sistemas de e-mail e nuvem e aplicativos. Eles também precisam ter a capacidade de responder onde quer que o ataque seja identificado para encerrá-lo rapidamente. As grandes empresas podem ter esses recursos integrados em seu SOC, enquanto as organizações de médio porte podem querer considerar o modelo gerenciado de detecção e resposta para monitoramento e resposta a ameaças 24 horas por dia, 7 dias por semana.
Apesar do recente declínio nos ataques de ransomware, os profissionais de segurança não devem esperar que a ameaça seja extinta tão cedo. RaaS continuará a evoluir, com as adaptações mais recentes substituídas por novas abordagens em resposta às inovações em segurança cibernética. Mas com o foco nas melhores práticas de segurança combinadas com as principais tecnologias de prevenção, detecção e resposta a ameaças, as organizações se tornarão mais resilientes contra ataques.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
