O pagamento médio de ransomware subiu 82% para um recorde de $ 570.000 no primeiro semestre de 2021, à medida que os cibercriminosos empregavam táticas cada vez mais agressivas para coagir as organizações a pagar resgates maiores. O aumento ocorre depois que o pagamento médio no ano passado aumentou 171%, para mais de US $ 312.000. Esses números, compilados pelo grupo de consultoria de segurança Unit 42, quantificam o que muitos já sabiam – a crise do ransomware continua a se intensificar à medida que empresas criminosas aumentam o investimento em operações de ransomware altamente lucrativas.
Já era sabido que esse cenário estava piorando por meio das notícias, e muitos também sabiam por experiência própria. Ataques de ransomware nos impediram de acessar computadores de trabalho, aumentaram os preços da carne, levaram à escassez de gasolina, fecharam escolas, atrasaram processos judiciais, impediram pessoas de inspecionar seus carros e fizeram com que alguns hospitais recusassem pacientes.
A ascensão da extorsão quádrupla
O aumento da “extorsão quádrupla” é uma tendência perturbadora identificada pelos consultores da Unit 42 enquanto lidavam com dezenas de casos de ransomware no primeiro semestre de 2021. Os operadores de ransomware agora costumam usar até quatro técnicas para pressionar as vítimas a pagar:
1) Criptografia: as vítimas pagam para recuperar o acesso a dados embaralhados e sistemas de computador comprometidos que param de funcionar porque os arquivos principais são criptografados.
2) Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago. (Essa tendência realmente decolou em 2020.)
3) Negação de serviço (DoS): gangues de ransomware lançam ataques de negação de serviço que fecham os websites públicos da vítima.
4) Assédio: os cibercriminosos entram em contato com clientes, parceiros de negócios, funcionários e mídia para informar que a organização foi hackeada.
Embora seja raro para uma organização ser vítima de todas as quatro técnicas, este ano temos visto cada vez mais gangues de ransomware se envolverem em abordagens adicionais quando as vítimas não pagam após criptografia e roubo de dados. Esse é o dobro do número descrito no Relatório de Ameaças de Ransomware da Unit 42 de 2021, que superou as tendências de 2020 em que sinalizamos a extorsão dupla como uma tendência emergente.
À medida que essas novas abordagens de extorsão foram adotadas, as gangues de ransomware ficaram mais gananciosas. A demanda média de resgate subiu 518% no primeiro semestre de 2021 para US $ 5,3 milhões – ante uma média de US $ 847.000 em 2020.
A maior demanda de resgate de uma única vítima vista por nossos consultores aumentou para US $ 50 milhões no primeiro semestre de 2021, de US $ 30 milhões no ano passado. Além disso, o REvil testou recentemente uma nova abordagem ao oferecer uma chave de descriptografia universal para todas as organizações afetadas pelo ataque da Kaseya por US $ 70 milhões, embora tenha reduzido rapidamente o preço pedido para US $ 50 milhões. A Kaseya acabou obtendo uma chave de descriptografia universal, mas não está claro qual pagamento feito e se houve algum pagamento de fato.
O maior pagamento confirmado, até agora neste ano, foram os US $ 11 milhões que a JBS SA divulgou após um ataque massivo em junho. No ano passado, o maior pagamento que observamos foi de US $ 10 milhões.
A trajetória ransomware
Acreditamos que a crise ransomware continue ganhando força nos próximos meses, à medida que os grupos de ransomware aprimoram ainda mais as táticas para coagir as vítimas a pagar e desenvolvem novas abordagens para tornar os ataques mais perturbadores. Por exemplo, começamos a ver gangues de ransomware criptografar um tipo crítico de software de infraestrutura conhecido como hypervisor, que pode corromper várias instâncias virtuais em execução em um único servidor.
Antecipamos também testemunharmos um aumento na segmentação de hypervisors e outros softwares de infraestrutura gerenciada nos próximos meses. Acreditamos ainda ver mais direcionamento de provedores de serviços gerenciados e seus clientes após o ataque que alavancou o software de gerenciamento remoto Kaseya, que foi usado para distribuir ransomware a clientes de provedores de serviços gerenciados (MSPs).
Embora anteciparmos que os resgates continuarão sua trajetória ascendente, acreditamos ver algumas gangues continuarem a se concentrar no mercado de baixo custo, regularmente visando pequenas empresas que não têm recursos para investir pesadamente em segurança cibernética. Até agora, neste ano, observamos grupos, incluindo NetWalker, SunCrypt e Lockbit, exigindo e recebendo pagamentos que variam de $ 10.000 a $ 50.000. Embora representem uma pequena porcentagem dos maiores resgates que observamos, pagamentos dessa proporção podem ter um impacto extenuante em uma pequena organização.