Como funciona?
Bons backups de dados podem derrotar o ransomware tradicional. Se uma organização tiver outra cópia de seus dados, não precisará pagar por uma chave de descriptografia para restaurá-los.
O ransomware de extorsão dupla supera esse desafio ao combinar o roubo de dados com a criptografia de dados. Ao roubar dados e ameaçar vazá-los se o resgate não for pago, o operador do ransomware pode extorquir resgates com sucesso, mesmo que uma organização tenha backups e possa se recuperar sem pagamento.
Sequência de ataque de extorsão dupla ransomware
O ransomware de extorsão dupla acrescenta estágios adicionais à cadeia de ataque de uma infecção por ransomware e provavelmente inclui as seguintes etapas:
- Acesso inicial: O malware obtém acesso inicial à rede corporativa, provavelmente por meio de uma estação de trabalho do usuário.
- Movimento lateral: O malware se move pela rede corporativa para um alvo de maior valor, como um servidor de banco de dados.
- Exfiltração de dados: O ransomware exfiltra informações confidenciais para o invasor antes de executar operações de criptografia altamente visíveis.
- Criptografia de dados: o malware criptografa arquivos nos sistemas infectados.
- Pedido de resgate: O ransomware exige um resgate para descriptografar arquivos ou excluir dados roubados.
Riscos e impactos potenciais
Uma infecção bem-sucedida por ransomware pode ser extremamente prejudicial para uma organização. Alguns dos impactos mais comuns incluem o seguinte:
- Perdas financeiras: O ransomware de extorsão dupla acarreta vários custos potenciais para a empresa. Além do custo de remediar o incidente, a empresa pode perder vendas durante o ataque e pode precisar pagar penalidades legais e regulamentares.
- Danos à reputação: Um ataque bem-sucedido de ransomware pode causar danos à reputação e à marca de uma organização. A falha na proteção dos dados dos clientes e a possibilidade de interrupção dos serviços devido ao ataque podem causar a rotatividade de clientes ou forçar a empresa a pagar restituições aos clientes afetados.
- Perda de dados: algumas formas de ransomware de extorsão dupla criptografam os dados, além de roubá-los. Mesmo que uma organização pague o resgate ou tenha backups, nem todos os dados poderão ser recuperados.
- Penalidades regulatórias: Um grupo de ransomware que rouba dados confidenciais é uma violação de dados relatável. Como resultado, a organização pode estar sujeita a pagar penalidades regulatórias.
Exemplos de ransomware de extorsão dupla
Muitos grupos de ransomware adotaram a metodologia de extorsão dupla. Alguns dos mais conhecidos incluem:
- Labirinto: O grupo de ransomware Maze surgiu em 2020 e foi pioneiro em ataques de ransomware de extorsão dupla.
- REvil: o REvil é um grupo de ransomware como serviço (RaaS) que foi detectado pela primeira vez em 2019.
- DarkSide: O DarkSide é um grupo de RaaS que surgiu em 2020 e é famoso pelo hack do Colonial Pipeline.
- BlackMatter: A BlackMatter surgiu em 2021 e afirma ser a sucessora dos grupos REvil e DarkSide, que não estão mais em operação.
- LockBit: o LockBit surgiu em 2019 e é um RaaS que usa malware de propagação automática em seus ataques.
Como evitar ataques de ransomware de extorsão dupla
Algumas práticas recomendadas de segurança cibernética para proteger a organização contra ataques de ransomware incluem o seguinte:
- Treinamento de conscientização sobre segurança cibernética: Muitas variantes de ransomware usam ataques de engenharia social, como phishing, para obter acesso à rede de uma organização. O treinamento dos funcionários para identificar essas ameaças e responder adequadamente reduz o risco de um incidente.
- Backups de dados: Embora o ransomware de dupla extorsão incorpore o roubo de dados, ele também pode criptografar dados valiosos. Os backups de dados permitem que uma organização restaure seus dados sem a necessidade de criptografá-los.
- Patching: algumas variantes de ransomware exploram a vulnerabilidade do software para acessar e infectar computadores. A aplicação imediata de patches e atualizações pode ajudar a eliminar esses problemas de segurança de API antes que eles possam ser explorados.
- Autenticação forte do usuário: O RDP e outros protocolos de acesso remoto são comumente usados para infectar sistemas corporativos com ransomware. A implementação de autenticação forte, incluindo a autenticação multifatorial (MFA), pode ajudar a impedir que os invasores usem credenciais comprometidas para distribuir malware.
- Segmentação de rede: Os grupos de ransomware geralmente precisam se mover lateralmente pela rede de uma organização, desde o ponto de infecção inicial até os sistemas de alto valor. A segmentação da rede, que divide a rede em seções isoladas, pode ajudar a detectar e evitar esse movimento lateral.
- Anti-ransomware Solutions: ransomwareA criptografia de arquivos do Google cria um padrão de atividade distinto em um computador, e muitas variantes têm assinaturas conhecidas. As soluções antiransomware podem identificar e bloquear ou remediar infecções ransomware antes que causem danos significativos aos negócios.
- inteligência de ameaça: O conhecimento das últimas campanhas de ataque de ransomware é inestimável para a proteção contra elas. A integração de feeds de inteligência de ameaça com soluções de segurança cibernética permite que eles identifiquem e bloqueiem com mais precisão os ataques de ransomware.
Evite ataques de ransomware com Check Point
Os ataques de ransomware de extorsão dupla representam uma ameaça significativa para as empresas, pois podem anular os backups como uma defesa contra o ransomware. Para saber mais sobre como se defender contra essa ameaça, consulte o Guia do CISO para ransomware Prevention.
O ransomware é uma das muitas ameaças cibernéticas que as organizações enfrentam, conforme detalhado no Relatório de Cibersegurança da Check Point. O Check Point Harmony Endpoint oferece uma forte proteção contra ransomware e outras ameaças de Segurança da endpoint. Para saber mais sobre como gerenciar a ameaça da Segurança da endpoint para sua empresa, inscreva-se gratuitamente em demo.