Especialistas da Kaspersky identificaram uma mudança no comportamento dos cibercriminosos, que estão deixando de realizar investidas generalizadas para focar em ataques de ransomware direcionados a empresas e setores específicos
Uma mudança estratégica nos ataques de ransomware vem se consolidando nos últimos dois anos, apontam os investigadores da Kaspersky. No lugar de investidas generalizadas, os ataques que pedem por um “resgate” para liberar dados importantes bloqueados estão sendo direcionados a empresas e setores específicos, como saúde e telecomunicações.
E a novidade não é apenas o foco: estas campanhas ameçam publicar os dados confidenciais roubados na internet caso o pagamento não seja realizado.
Esta segunda etapa se caracteriza como uma segunda extorsão, uma vez que as empresas podem ser multadas pela GDPR ou Lei Geral de Proteção de Dados, cujas sanções passarão a vigorar a partir de agosto deste ano.
O ransomware, em geral, é considerado uma das ameaças mais graves contra os negócios. Os ataques desta categoria podem não apenas interromper operações críticas, como acarretar enormes perdas financeiras.
Em alguns casos, isso pode até mesmo levar uma companhia à falência, considerando as multas e ações judiciais incorridas como resultado da violação de leis e regulamentações.
Por exemplo, estima-se que os ataques WannaCry tenham causado mais de US$ 4 bilhões em prejuízos em todo o mundo. Para piorar, as campanhas mais recentes trazem o agravante de ameaça de tornar os dados sequestrados públicos.
Na América Latina, dois grupos que estão praticando esse novo método de extorsão de forma mais intensa são o Revil (também conhecido como Sodin ou Sodinokibi) e o NetWalker.
Segundo pesquisadores da Kaspersky, ambos já causaram perdas milionárias em grandes empresas da região, principalmente das áreas de saúde e telecomunicações.
O Revil, por sua vez, popularizou o modelo de negócios ransomware-as-a-service, em que o desenvolvedor permite que outros grupos utilizem o malware criado por ele em golpes, cobrando uma comissão por isso.
As famílias Revil e NetWalker atuam especialmente de duas maneiras: por meio de ataques que tentam adivinhar a senha de acesso à aplicação de conexão remota (força bruta contra o Protocolo de Área de Trabalho Remota – RDP, em inglês) ou explorando vulnerabilidades em softwares desatualizados.
As mais utilizadas, de acordo com a Kaspersky, são: CVE-2020-0609 e ao CVE-2020-0610, que afetam o componente do Remote Desktop Gateway, e ao CVE-2019-2725, que representa uma vulnerabilidade no componente Oracle WebLogic Server da Oracle Fusion Middleware.
Estima-se que o custo de um ataque de ransomware é de US$ 720 mil, sendo que o resgate médio é de cerca de US$ 111 mil (dados de fontes independentes e relatórios de vítimas).
Isso ocorre porque as recompensas, em sua maior parte, são exigidas na criptomoeda Monero ($ XMR), que garante um nível de privacidade e anonimato aos invasores, ajudando-os a escapar do rastreamento das autoridades policiais.
“O que estamos vendo agora é o crescimento do ransomware 2.0. Os ataques estão se tornando mais seletivos e o foco não está apenas na criptografia, mas também na publicação de dados confidenciais na internet. Isso não apenas coloca em risco a reputação das empresas, como as expõe a processos judiciais, uma vez que a publicação dos dados viola leis locais como a LGPD, no Brasil. Há mais em jogo do que perdas financeiras.”, comenta Dmitry Bestuzhev, chefe da Equipe de Pesquisa e Análise Global da América Latina (GReAT) da Kaspersky.
“Isso significa que as organizações precisam pensar na ameaça do ransomware como mais do que apenas um tipo de malware. Na verdade, ela é apenas o estágio final de uma violação de rede. No momento em que o ransomware é instalado, o invasor já realizou um reconhecimento de rede, identificou os dados confidenciais e realizou a cópia deles.”
“É importante que as organizações implementem toda a gama de práticas recomendadas de cibersegurança. Identificar e neutralizar o ataque em um estágio inicial, antes que os invasores atinjam seu objetivo final, pode representar uma grande economia financeira”, acrescenta Fedor Sinitsyn, especialista em segurança da Kaspersky.
Para saber mais sobre a análise Ransomware 2.0, acesse o Securelist.
Para manter sua empresa protegida contra ataques de ransomware, os especialistas da Kaspersky recomendam:
1. A menos que seja absolutamente necessário, não exponha serviços de desktop remoto (como RDP) a redes públicas. E sempre use senhas fortes para esses serviços.
2. Mantenha sempre os softwares atualizados em todos os dispositivos. Para automatizar este processo, use soluções que monitore os programas e realize as correções automaticamente.
3. Obrigue a utilização de uma VPN confiável (software que cria uma rede segura de conexão). Assim, mesmo que um terceiro adivinhe a senha de acesso, ele não conseguirá se conectar aos servidores corporativos.
4. Use soluções de resposta a incidentes, como o Kaspersky Endpoint Detection and Response e o Kaspersky Managed Detection and Response, para identificar e interromper o ataque em um estágio inicial, antes que os invasores concluam seu objetivo.
5. Eduque os colaboradores. Treinamentos dedicados, como os fornecidos na Kaspersky Automated Security Awareness Platform, podem ajudar. Uma lição gratuita sobre como se proteger contra ataques de ransomware está disponível neste link (em inglês).
6. Para dispositivos pessoais, use uma solução de segurança confiável, como o Kaspersky Security Cloud, que protege contra malware de criptografia de arquivos e reverte as alterações feitas por aplicativos maliciosos.
7. Se você for uma empresa, aumente sua proteção com a ferramenta gratuita da Kaspersky Anti-Ransomware Tool for Business. Sua versão recém-atualizada contém um recurso de prevenção de exploit para evitar que ransomware e outras ameaças explorem vulnerabilidades em softwares e aplicativos. Também é útil para clientes que usam o Windows 7: com o fim do suporte deste sistema operacional, novas vulnerabilidades nele não serão corrigidas pelo desenvolvedor.
8. Para proteção superior, use uma solução de segurança de endpoint, como Kaspersky Endpoint Security for Business, que é alimentada por prevenção de exploração, detecção de comportamento e um mecanismo de correção que é capaz de reverter ações maliciosas.
RansomEXX e Egregor: famílias de ransomware intensificam ataques
Microsoft, mais uma vítima do ataque cibernético SolarWinds
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.
O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.br.