A Check Point divulga seus dados e aponta as tendências mais recentes sobre o cenário global do ransomware. A equipe da CPR relatou em março que o ransomware tiveram um aumento de 57% no número de ataques desde o início de 2021 em meio à divulgação das vulnerabilidades do Microsoft Exchange. Os pesquisadores ressaltaram ainda que, em 2020, estima-se que o ransomware custou às empresas em todo o mundo cerca de US$ 20 bilhões – um valor quase 75% maior em relação a 2019.
Agora, após o ciberataque à Colonial Pipeline, a Check Point Research salienta que, desde abril, os pesquisadores observaram uma média de mais de 1.000 organizações sendo afetadas por ransomware todas as semanas. Isso segue aumentos impressionantes no número de organizações impactadas até agora em 2021 – 21% no primeiro trimestre do ano e 7% desde abril até agora. Esses aumentos resultaram em um crescimento geral significativo de 102% no número de organizações afetadas por ransomware em comparação com o início de 2020.
Os pesquisadores da CPR identificaram que os setores mais atacados têm sido Saúde (109 ataques / semana na média), Utilities (59 ataques / semana na média) e Seguros /Judiciário (34 ataques / semana na média).
Impacto de ransomware por região
Uma organização na Ásia-Pacífico (APAC) enfrenta atualmente o maior volume de ataques de ransomware. Em média, as organizações em APAC são atacadas 51 vezes por semana. É um aumento de 14% em relação ao início deste ano. Por outro lado, as organizações da África tiveram o maior aumento nos ataques, 34%, desde abril. Em média, uma organização na América do Norte sofre 29 ataques semanais, seguida pela Europa e América Latina com 14 ataques e empresas africanas que têm cada uma quatro ataques semanais por organização.
Nova ameaça de ransomware: tripla extorsão
Os ataques proeminentes que ocorreram no final de 2020 e no início de 2021 apontam para uma nova cadeia de ataques, essencialmente uma expansão da técnica de ransomware de dupla extorsão integrando uma ameaça adicional única ao processo passando a ser tripla.
“A respeito do ataque do grupo de cibercriminosos Darkside contra a Colonial Pipeline, o ransomware funciona em um modelo Ransomware-as-a-Service (RaaS), partindo de um programa de ‘parceiros’ para executar os ciberataques. Isto significa que sabemos muito pouco sobre o verdadeiro agente malicioso por trás do ataque à Colonial Pipeline, já que pode ser toda a gente do lado dos parceiros do Darkside”, afirma Lotem Finkelsteen, head de Inteligência de Ameaças da Check Point Software Technologies.
Segundo Finkelsteen, o que os pesquisadores sabem é que para derrubar operações extensivas como as da Colonial Pipeline é necessário um ciberataque sofisticado e bem planejado. “Este ataque requer a adequação de um período de tempo que permita o movimento lateral e a extração de dados. O Darkside é conhecido por fazer parte de uma tendência de ataques de ransomware que envolve sistemas que a comunidade cibernética raramente vê envolvidos em redes comprometidas, como os servidores ESXi. Isto levanta suspeitas sobre a possibilidade de a rede ICS (sistemas de infraestruturas críticas) estar envolvida. O ransomware é conhecido por ser implementado em numerosos ataques que incluem outras empresas petrolíferas e de gás (como a Forbes Energy Services e Gyrodata).”
Panorama de ciberameaças e ransomware no Brasil
De acordo com o relatório de inteligência de ameaças da Check Point Software, uma organização no Brasil está sendo atacada em média 803 vezes por semana nos últimos seis meses, em comparação com 694 ataques por organização globalmente.
• No início de abril de 2021, a porcentagem de organizações brasileiras impactadas por um ataque de ransomware superou a média global: 3,1% e 2%, respetivamente (ver gráfico abaixo).
• No Brasil, 53% dos arquivos maliciosos foram entregues por vetor de ataque via e-mail.
• A vulnerabilidade mais comumente explorada no Brasil é a Remote Code Execution, um tipo de ataque por meio do qual o cibercriminoso executa remotamente um código malicioso.
“Observamos que 2021 é e será o ano da ‘Security Everywhere & Anywhere’, ou seja segurança em todos e quaisquer lugares. A crescente sofisticação dos ciberataques, o despreparo das empresas brasileiras num período de rápida transformação digital, contribui para um nível de insegurança cada vez mais elevado, que só poderá ser combatido se for adotada uma visão completa e integrada da cibersegurança. Adotar uma estratégia de prevenção e proteção em todas as fases e aspectos de uma organização é fundamental”, alerta Claudio Bannwart, country manager da Check Point Brasil.
Orientações de prevenção contra ransomwares
1) Manter a atenção nos fins de semana e feriados – A maioria dos ataques de ransomware no ano passado ocorreu durante os finais de semana e feriados, quando as pessoas provavelmente não acompanhavam os ambientes.
2) Patches atualizados – Na época do famoso ataque do WannaCry em maio de 2017, existia um patch para a vulnerabilidade EternalBlue usada pelo WannaCry. Esta correção estava disponível um mês antes do ataque e classificada como “crítica” devido ao seu alto potencial de exploração. No entanto, muitas organizações e indivíduos não aplicaram o patch a tempo, resultando em um surto de ransomware que infectou mais de 200 mil computadores em três dias. Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles classificados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
3) Anti-Ransomware – Embora as etapas anteriores de prevenção de ransomware possam ajudar a mitigar a exposição de uma organização a ameaças de ransomware, elas não fornecem uma proteção perfeita. Alguns operadores de ransomware usam e-mails de spear phishing bem pesquisados e altamente direcionados como vetor de ataque.
Esses e-mails podem enganar até mesmo o funcionário mais diligente, fazendo com que o ransomware ganhe acesso aos sistemas internos de uma organização. A proteção contra esse ransomware que “passa despercebido” requer uma solução de segurança especializada. As soluções anti-ransomware monitoram os programas em execução em um computador em busca de comportamentos suspeitos comumente exibidos por ransomware e, se esses comportamentos forem detectados, o programa pode tomar medidas para interromper a criptografia antes que mais danos possam ser causados.
4) Educação – treinar os usuários sobre como identificar e evitar possíveis ataques de ransomware é crucial. Muitos dos ataques cibernéticos atuais começam com um e-mail direcionado que nem mesmo contém malware, mas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso. A educação do usuário costuma ser considerada uma das defesas mais importantes que uma organização pode implantar.
5) Ataques de ransomware não começam com ransomware – grupos de Ryuk e outros ransomwares compram bases de infecção em organizações visadas. Os profissionais de segurança devem estar cientes das infecções por Trickbot, Emotet, Dridex e CobaltStrik em suas redes e removê-las usando soluções para rastrear as ameaças, à medida que abrem a porta para que Ryuk ou outras infecções de ransomware se infiltrem nas organizações.