ESET alerta que atividade de ransomware na América Latina aumentou, com ataques direcionados aos setores corporativo e governamental
A ESET, empresa líder em detecção proativa de ameaças, analisa grupos de ransomware muito ativos na América Latina em 2023, explicando quem são os principais atores e como as empresas e entidades devem se preparar.
De acordo com o Relatório de Segurança da ESET, 96% das organizações expressaram preocupação com o ransomware como uma ameaça latente, sendo que 21% admitiram ter sofrido um ataque com esse tipo de malware nos últimos dois anos.
Deste último grupo, 77% conseguiram recuperar suas informações devido às políticas de backup que possuem, enquanto 4% afirmaram ter pago pelo resgate. Das organizações pesquisadas, 84% negaram estar dispostas a negociar o pagamento pelo resgate de seus dados.
“Um dos principais desafios a enfrentar em um futuro próximo será o aumento das campanhas de spear phishing (direcionadas a um alvo específico). Deve-se levar em consideração o aumento dos riscos associados ao maior uso de tecnologias no período pós-pandemia e a necessidade de aprimorar o nível de conscientização dos colaboradores das empresas em todos os níveis”, comenta David González Cuautle, Pesquisador de Segurança Cibernética da ESET América Latina.
“A implementação de cibersegurança na América Latina depende do tipo de organização e, de acordo com as pesquisas realizadas no ESET Security Report, há problemáticas em que existe uma convergência, independentemente do setor: O roubo ou vazamento de informações nas empresas é a maior preocupação, com 66%, e está associado a acessos indevidos aos sistemas, ou seja, o aumento de ataques que visam explorar alguma vulnerabilidade por meio de campanhas de phishing direcionado (spear phishing) ou a instalação de códigos maliciosos como ransomware ou trojans de acesso remoto.”
Os grupos de ransomware mais ativos na região da América Latina até o momento deste ano, de acordo com a ESET, são:
SiegedSec: conhecido por seu lema de assediar a segurança da vítima, daí o seu nome, em inglês “siege”, que pode ser traduzido como assediar ou sitiar. Seu modus operandi é extorquir a vítima a ponto de deixá-la apenas com a opção de pagar pelo resgate de suas informações ou, no pior dos casos, vendê-las em fóruns da Dark web ou Telegram.
Desde o início de suas atividades em fevereiro de 2022, vinculadas ao grupo de ransomware GhostSec, demonstrou que não tem preferência por seus alvos, conseguindo afetar setores em todo o mundo, como saúde, tecnologia da informação, seguros, contabilidade, direitos e finanças.
No que diz respeito à sua atividade na América Latina, o SiegedSec conseguiu obter documentos de intranet, bases de dados, informações de usuários e detalhes de organizações violadas em vários setores na Colômbia, com entidades governamentais e de saúde entre as mais afetadas.
SiegedSec é caracterizado pelo fato de que em todos os seus banners para liberação de informações, eles incorporam um gato como se fosse sua mascote oficial.
Nokoyawa: de origem russa e iniciando suas atividades em fevereiro do ano passado, esse grupo se caracteriza por ser o único a utilizar uma criptografia altamente sofisticada (criptografia de curva elíptica, ou ECC, em inglês), adicionando sua própria extensão de arquivo homônima (NOKOYAWA).
Este grupo conseguiu obter uma quantidade significativa de informações de um laboratório no setor de saúde do Brasil até o terceiro quadrimestre de 2023.
ALPHV: também conhecido como Blackcat; a maneira como esse grupo opera desde sua aparição em novembro de 2021 é por meio do Ransomware-as-a-Service (RaaS, em inglês), pois seus ataques não ocorrem aleatoriamente ou por meio de campanhas de spam, mas sim, seus alvos são determinados pelos associados com os quais contam. Ou seja, eles unem esforços para realizar ataques a alvos já perfilados. Isso faz com que seu modus operandi seja específico para cada caso de uso, assim como as técnicas empregadas durante seus ataques.
No meio de 2023, ALPHV divulgou informações confidenciais sobre a exfiltração de dados de uma das maiores empresas do México por meio de seu canal no Telegram. Da mesma forma, o setor público não ficou isento desse ataque.
Stormous e sua aliança com GhostSec: o grupo Stormous surgiu no meio de 2021. Inicialmente, o grupo, de origem árabe, divulgava ataques aos Estados Unidos por meio de seus canais no Telegram e em fóruns da Dark web. Devido ao conflito Rússia-Ucrânia, seus objetivos foram modificados e, em meados de julho deste ano, anunciaram oficialmente uma parceria com o grupo de hacktivistas GhostSec para atacar não apenas os Estados Unidos, mas também países da América Latina, incluindo o governo de Cuba.
Vice Society: um dos mais ativos no final de 2022 e início de 2023. A maioria das incidências ocorreu nas indústrias de educação e saúde, mas também há evidências de que outro setor que esse grupo de ransomware está mirando é o setor manufatureiro em países como Brasil, Argentina, Suíça e Israel. Vale ressaltar que eles desenvolveram seu próprio gerador de ransomware personalizado, optando por métodos de criptografia mais robustos, o que indica que o grupo está se preparando para sua própria operação de ransomware como serviço (RaaS).
Site oficial na Dark web da Vice Society. Fonte: Tripwire.
A partir da ESET América Latina, compartilhamos algumas recomendações que podem auxiliar na proteção da informação:
- Ter uma política para realizar backups periódicos: isso permitirá que os dados, caso sejam afetados por algum ransomware, possam ser restaurados. De acordo com o ESET Security Report na América Latina, 88% das organizações pesquisadas implementaram essa recomendação.
- Estabelecer uma política para atualização e correções em cada ativo (operacional e de rede): ao ter todos os sistemas, aplicativos e dispositivos atualizados, a vulnerabilidade para que os cibercriminosos explorem falhas de software ou protocolos obsoletos é consideravelmente reduzida. No ESET Security Report na América Latina, 45% das organizações afirmaram realizar atualizações de segurança mais de duas vezes por ano, indicando que ainda há muito esforço a ser feito.
- Educação e conscientização: a capacitação contínua de colaboradores em todos os níveis sobre as melhores práticas de segurança e as tendências de vetores de ataque na região são fundamentais para evitar que um cibercriminoso tenha sucesso. Uma área de oportunidade para as organizações, onde muitos dos ataques de ransomware são bem-sucedidos, é a falta de um programa de treinamento e conscientização (apenas 28% dos entrevistados no ESET Security Report da América Latina afirmaram ter esse programa).
- Ter uma política sobre o princípio do mínimo privilégio: ao estabelecer apenas os privilégios necessários para que o colaborador possa realizar suas atividades, limita-se a capacidade do ransomware se propagar para outros sistemas ou aplicativos.
- Segurança na rede: firewalls, segmentação de rede juntamente com regras de acesso e uso de VPN limitam a possibilidade de propagação de qualquer malware.
- Plano de Resposta a Incidentes e Continuidade de Negócios: é importante saber como responder a qualquer incidente ou contingência que possa ocorrer na organização, minimizando o impacto nos negócios e garantindo que continuem funcionando. 42% dos entrevistados indicaram que possuem um plano de resposta a incidentes, enquanto 38% não têm um plano de continuidade de negócios.
- Contar com soluções de segurança avançadas: a implementação de soluções de segurança que detectem e bloqueiem comportamentos anômalos ou suspeitos, como um EDR (Endpoint Detection and Response, em inglês) e soluções antimalware, permitiria a continuidade dos negócios, proporcionando uma vantagem comercial ao conquistar a confiança dos clientes ao saberem que suas informações estão adequadamente protegidas.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo.
Check Point Software aponta as consequências da “roleta” do ransomware no MGM Resorts
Kaspersky: 2 ataques de ransomware são bloqueados por minuto na América Latina
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.