Por Derek Manky
Nem todos os heróis usam capas. Muitos trabalham silenciosa e diligentemente nos bastidores, acumulando evidências e descobrindo pistas até que haja o suficiente para acabar com o inimigo. Assim como o trabalho de detetive, os defensores usam táticas semelhantes para perseguir os criminosos cibernéticos, entrando em suas mentes e seguindo seus passos para vencê-los em seu próprio jogo.
Estamos vendo um aumento no número de ataques cibernéticos eficazes e destrutivos, que afetam milhares de organizações em um único incidente, criando um ponto de inflexão importante para a guerra contra o crime cibernético. No caso do ransomware, alguns atacantes estão mudando sua estratégia de cargas iniciadas por e-mail para se concentrarem em obter e vender acesso inicial em redes corporativas, mostrando ainda mais a evolução contínua do Ransomware-as-a-Service (RaaS), que alimenta o crime cibernético.
Isso significa que o ransomware não é apenas sobre resgate, mas também pode ser sobre acesso. Na verdade, dados recentes do FortiGuard Labs da Fortinet mostram que a atividade média semanal de ransomware em junho de 2021 era mais de 10 vezes maior do que há um ano. Isso nos mostra um aumento consistente significativo no período. De acordo com a pesquisa State of Ransomware da Fortinet, ele é a principal preocupação de muitas organizações atualmente.
Em busca do lucro
O crime cibernético se tornou um grande negócio, repleto de centrais de atendimento que ajudam suas vítimas a pagarem resgates, oferece suporte técnico, possui membros que movimentam e lavam dinheiro e aqueles que gerenciam fóruns na Dark Web para criar e vender códigos. Tome por exemplo o Ransomware-as-a-Service (RaaS), um modelo baseado em assinatura que permite que membros (afiliados) usem ferramentas de ransomware que já foram desenvolvidas por outra pessoa para executar ataques.
Nos ecossistemas mais sofisticados, várias pessoas e funções trabalham juntas. Fornecedores criam e produzem ameaças como malware e exploits de código zero, então licenciam, vendem e compartilham sua tecnologia com distribuidores e afiliados, que então vendem suas soluções para clientes, que direcionam essas soluções para as vítimas – eles usam suas cadeias de fornecimento para se infiltrarem melhor nas cadeias de fornecimento de suas vítimas.
E todo o ecossistema foi criado com um objetivo final em mente: lucro. Existem pessoas nos bastidores que gerenciam as transações, protegem os fundos, lavam o dinheiro e distribuem os pagamentos. Assim como em qualquer empresa, eles podem trabalhar com gerentes de contas que coordenam a venda. E depois há as mulas que movem o dinheiro para que não possa ser rastreado.
A boa notícia é que já sabemos de tudo isso. Caçadores de ameaças e pesquisadores seguem os movimentos desses criminosos e estudam suas táticas e manuais para replicar e detonar seus ataques. Usamos mapas de calor para descobrir as técnicas mais recentes, então sabemos o que eles estão pensando e o que implementaram. Os mapas de calor são fundamentais, pois se transformam em roteiros que nos levam à direção certa. Como muitas organizações cibercriminosas operam como uma empresa, nós, defensores, podemos usar suas próprias táticas, dados em tempo real e inteligência de alta resolução para interromper sua cadeia de fornecimento, tornando mais cara sua operação e, portanto, forçando-os a mudar de tática.
E nossos esforços estão começando a dar frutos. Vários eventos até agora em 2021 contam como vitórias para os defensores. Veja o TrickBot, por exemplo – seu desenvolvedor original foi processado por várias acusações em junho. E a remoção coordenada do Emotet, uma das operações de malware mais prolíficas da história recente, bem como as ações para interromper as operações de ransomware, como Egregor e NetWalker.
Eduque-se e aja
Qualquer pessoa pode se juntar à luta contra o crime cibernético. Aprendendo sobre as melhores práticas de higiene cibernética, colaborando com outros defensores e utilizando ferramentas como inteligência artificial (IA) para detectar e implementar contramedidas, podemos ficar um passo à frente dos criminosos. Reagir a uma violação de segurança é uma coisa, mas interrompê-la antes que ela possa causar qualquer dano é outra.
Uma maneira fácil de obter conhecimentos poderosos sobre segurança cibernética é por meio de cursos gratuitos voltados para qualquer pessoa interessada em aprender sobre segurança cibernética, bem como programas mais avançados para profissionais da área. Aprender alguns prós e contras da guerra cibernética pode nos ajudar a nos fortalecer contra os ataques. Gerenciadores de senhas podem ajudar a proteger suas informações pessoais; aprender como encontrar dicas de que o e-mail é de phishing e saber sobre golpes de malvertising (uma tática cibernética maliciosa que tenta distribuir malware por meio de anúncios on-line) pode livrá-lo de manobras de engenharia social que usam psicologia para nos manipular a divulgar informações confidenciais.
A detecção automatizada de ameaças e a IA são ferramentas essenciais para permitir que as organizações lidem com ataques em tempo real e mitiguem ataques em velocidade e escala, especialmente em endpoints individuais. Abordagens de Zero Trust precisam ser implementadas para permitir o acesso seguro no trabalho e no ensino à distância. Além disso, a conscientização do usuário final é fundamental, uma vez que trabalhadores remotos e estudantes são alvos e não apenas organizações. Todos devemos utilizar de melhores práticas para manter a segurança de indivíduos e empresas.
O alinhamento de forças por meio da colaboração também deve ser uma prioridade para interromper as cadeias de fornecimento dos cibercriminosos. Quanto mais compartilharmos dados e inteligência sobre ameaças, mais eficazes e coordenadas serão nossas respostas. O treinamento contínuo de conscientização sobre segurança cibernética, bem como tecnologias de prevenção, detecção e resposta baseadas em IA integradas em todos os lugares – em endpoints, redes e na nuvem – continuam a ser ferramentas fundamentais na guerra contra o crime cibernético.
É seguro dizer que o crime cibernético não irá desaparecer tão cedo, mas conforme os criminosos se tornam mais sofisticados e criativos, nós também o fazemos. A colaboração e o compartilhamento de inteligência de ameaças entre empresas, órgãos de segurança pública e entidades governamentais ajudam a identificar os malfeitores. E quando eles são derrubados, demoram mais para voltar.
Alguns membros estão abandonando totalmente suas organizações criminosas porque também se tornaram alvos da aplicação da lei. Portanto, vimos quedas promissoras na atividade de ameaças, o que valida nossos esforços. Mas ainda há trabalho a ser feito. Estamos em um ponto crítico de inflexão quando se trata de combater o crime cibernético, e você vai querer estar no lado certo da história.
*Derek Manky, head de Security Insights e Alianças Globais contra Ameaças do FortiGuard Labs da Fortinet