Sequestros atualmente vão além de pessoas (xijian/Getty Images)
Bússola
Publicado em 26 de julho de 2022 às 08h13.
Nos últimos anos, nos ataques de cibersegurança, o ransomware tornou-se onipresente custando mais de US$ 20 bilhões em danos ao redor do mundo somente em 2021, segundo dados do Cybersecurity Ventures. O advento de ataques de ransomware de alto perfil, começando com o ataque global WannaCry de 2017, aumentou significativamente seu desempenho. Nos últimos anos, os criminosos atacaram escolas, governos, instalações de saúde e infraestrutura, entre outros alvos.
Grupos de cibercriminosos têm usado os ataques de ransomware como uma maneira de ganhar dinheiro diretamente, ou até ofertando como uma prestação de serviço, assim surgindo o termo de Ransomware as a Service (RaaS). Esses grupos que “prestam serviço” de ransomware, são como empresas, com estruturas similares às organizações com representantes de atendimento ao cliente e treinamentos de funcionários. Recentemente houve um vazamento de informações sobre o grupo Conti, um dos RaaS mais prolíficos do mundo, revelando a forma como operam, suas táticas, forma de organização e detalhes uma visão de como essas organizações operam.
A Akamai tem analisado e pesquisado provedores de RaaS para revelar alguns dos mecanismos desconhecidos e que contribuíram para seu sucesso. Utilizando o Conti como referência de estudo, para termos uma visão abrangente da atividade global de ransomware, é possível levantar alguns dados significativos. Os dados são coletados da dark web, onde os dados e informações das vítimas são comprados e vendidos.
Efeitos globais do Conti
Para contextualizar, o Conti é um notório grupo RaaS que foi detectado pela primeira vez em 2020. De acordo com o Chainalysis, o grupo de ransomware foi mais lucrativo em 2021, com uma receita estimada de pelo menos US$ 180 milhões. Além disso, o grupo atacou recentemente, com sucesso, o governo da Costa Rica e o Departamento de Saúde irlandês.
O objetivo do Conti é extorquir suas vítimas para que paguem um “resgate” pelas informações que eles roubam. Baseado nas informações que o grupo acaba compartilhando no momento do ataque, os pesquisadores conseguem criar uma análise das preferências de ataque, sucesso e fracasso do grupo. Os dados refletem o último ano de atividade do Conti e preservam o anonimato das empresas em questão.
Ao observarmos os ataques bem sucedidos de ransomware do Conti, vemos que 60% dos ataques foram direcionados às organizações dos EUA, enquanto 30% está na UE. Apesar da baixa contagem de vítimas das regiões APAC e LATAM em relação à América do Norte e EMEA, é importante não desconsiderar a relevância desses ataques, pois o impacto de cada ataque individual pode variar entre as regiões. Um bom exemplo, é justamente o recente ataque bem sucedido do Conti ao governo da Costa Rica, que causou perturbações generalizadas na região.
Tendências por receita das empresas
O ransomware como vetor de ataque é em grande parte motivado financeiramente, por isso ganhou tanta atenção nos últimos anos. Uma análise dos ataques por receita nos permite examinar as motivações e taxas de sucesso dos grupos RaaS contra diferentes tamanhos de empresas. Muitas vezes supõe-se que eles visam apenas as maiores organizações, no entanto, os dados abaixo revelam um quadro um pouco diferente da distribuição de vítimas através de grupos de receita.
Esses quatro grupos têm um risco significativamente maior. Isso revela uma tendência interessante no padrão de êxito dos grupos RaaS, como o Conti. Apesar de os ataques de ransomware em grandes empresas serem os divulgados pela mídia, a maioria deles que são bem sucedidos acontecem nas faixas de receita mais baixas.
Essas empresas podem representar um conjunto ideal para esses grupos de ransomware, já que são empresas que ganham receita suficiente para pagar um resgate substancial, mas ainda não estão maduras o suficiente para se defenderem com sucesso contra o Conti e outros grupos RaaS.
Com uma porcentagem um pouco menor, encontramos 10% das empresas com faturamento superior a US$ 500 milhões. Porém, esse número ainda é bastante alto, considerando que ataques bem sucedidos em grandes empresas geralmente carregam consigo um impacto colateral maior. Ao analisar a quantidade de dados extraídos nesta faixa de receita, os dados indicaram que as organizações desse grupo são mais capazes de se defender contra ataques de ransomware e o impacto maciço causado por eles.
Previsão e prevenção de ataque
Uma organização madura saberá que um atacante persistente procurará incansavelmente formas de sucesso. Apesar de implementar todas as defesas adequadas, sempre existe uma chance de que sua rede seja violada eventualmente. Isso pode ser devido a um usuário infectado por uma campanha de phishing ou um servidor executando um serviço vulnerável que não foi mitigado corretamente.
Por isso, é essencial que as organizações se concentrem na detecção e prevenção do movimento lateral dos atores de ameaças, aplicando a segmentação em redes corporativas. Configurar a rede em subsistemas pode não garantir que a infecção não ocorra, mas ela delimita a área do ataque, evitando um contágio maior do sistema.
Além disso, é importante realizar o treinamento constante dos funcionários no combate a ataques cibernéticos. Explicar para as equipes o que são e como os ataques funcionam, seguindo normas e procedimentos de segurança. Isso ajuda a diminuir o risco que elas devem evitar e caso percebam algo estranho, saibam lidar com a situação acionando a área responsável.
*Claudio Baumann é diretor da Akamai para a América Latina
Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube
Veja também
Como prevenir ataques cibernéticos em eventos ao vivo
O que deve estar no marco regulatório de inteligência artificial no Brasil
Maior festival hacker da América Latina, #HFBR tem final esta semana em SP