Os diferentes tipos de ransomware

A crescente onda de ataques de ransomware

O ransomware existe há décadas, mas, nos últimos anos, a ameaça do ransomware cresceu dramaticamente. O surto de ransomware WannaCry em 2017 demonstrou que o ransomware era um vetor de ataque lucrativo, e a criação de criptomoedas como o Bitcoin tornou mais fácil para os invasores exigirem e receberem pagamentos de resgate.

A pandemia também contribuiu para o aumento do ransomware, à medida que os cibercriminosos aproveitaram o aumento do trabalho remoto e a crescente importância das organizações de saúde. À medida que o trabalho remoto se torna parte dos negócios normais, a pandemia de ransomware continua a crescer.

Compreendendo a ameaça do ransomware

O ransomware é uma ameaça em evolução à segurança corporativa. As campanhas originais de ransomware eram relativamente simples. O malware foi entregue por e-mail ou exploração de uma vulnerabilidade de software e arquivos criptografados nas máquinas infectadas. Se o resgate fosse pago, os invasores forneceriam um software de descriptografia que permitia à vítima restaurar as operações normais.

Nos últimos anos, as campanhas de ransomware evoluíram rapidamente. Uma mudança importante está nos vetores de infecção usados. O ransomware agora tem como alvo principal soluções de acesso remoto, explorando a vulnerabilidade da VPN ou usando credenciais de funcionários comprometidas para fazer login via RDP.

As técnicas usadas pelos operadores de ransomware para forçar as vítimas a pagar o resgate também mudaram. A capacidade de restaurar a partir de backups neutraliza o impacto da criptografia de dados, de modo que o ransomware também se ramificou para o roubo de dados. Os operadores modernos de ransomware ameaçam vazar dados roubados se o resgate não for pago pela vítima e, em alguns casos, por seus clientes. Alguns grupos de ransomware também usam a ameaça de ataques de Negação Distribuída de Serviço (Distributed Denial of Service, DDoS) (DDoS) como incentivo para atender às suas demandas.

Finalmente, a ameaça ransomware evoluiu devido à especialização de funções e à criação do modelo Ransomware como serviço (RaaS) para ataques. Em vez de um único grupo desenvolver malware, infectar organizações e coletar resgates, os autores de ransomware agora distribuem seu malware a “afiliados” para uso em seus ataques. O RaaS fornece aos afiliados acesso a malware avançado e permite que os autores de ransomware escalem suas campanhas, aumentando a ameaça do ransomware.

Principais variantes de ransomware

O sucesso do ransomware levou muitos grupos diferentes de crimes cibernéticos a desenvolverem suas próprias variantes. Algumas das variantes de ransomware mais prolíficas e famosas incluem:

• REvil: REvil, também conhecido como Sodinokibi, ficou famoso por ser uma das variantes de ransomware com maior demanda. REvil encerrou repentinamente as operações em julho de 2021, após um famoso ataque a Kaseya.
• Bloqueio: LockBit ransomware é uma variante RaaS que surgiu pela primeira vez em setembro de 2019, quando era chamado de ransomware ABCD (devido ao seu .abcd extensão de arquivo). Em julho de 2021, Accenture infectada com LockBit, roubando dados internos e criptografando servidores que foram posteriormente restaurados a partir de backups. WannaCry: WannaCry é a variante de ransomware que deu início ao recente aumento de ataques de ransomware. A variante original do WannaCry usava o EternalBlue, um exploit desenvolvido pela NSA e vazado pelos ShadowBrokers, para se espalhar através de versões vulneráveis do SMB do Windows.
• Conti – Conti é um grupo de ransomware como serviço (RaaS), que permite que afiliados aluguem acesso à Infraestrutura de TI para lançar ataques. Especialistas da indústria disseram que Conti está baseado na Rússia e pode ter ligações com a inteligência russa.
• Ryuk: Ryuk é uma variante de ransomware muito direcionada que exige resgates elevados de suas vítimas. Em julho de 2021, o pagamento médio de resgate de Ryuk foi de $ 691.800.
• CriptoLocker: CryptoLocker é uma das primeiras variantes de ransomware que operou principalmente de setembro de 2013 a maio de 2014. Operação Tovar, que derrubou o botnet Gameover ZeuS, em grande parte matou esta variante de ransomware.
• Petia: Petya é uma família de variantes de ransomware. Ao contrário da maioria dos ransomware, essas variantes criptografam o Master Boot Record (MBR) em vez de arquivos individuais.
• Locky: Locky é uma variante de ransomware que começou a se espalhar em 2016. Ele foi usado por várias gangues de crimes cibernéticos diferentes e inspirou outras variantes de ransomware.
• Coelho Mau: Bad Rabbit foi uma variante de ransomware de curta duração que é atribuído à BlackEnergy, os criadores do NotPetya. Ao contrário do NotPetya, que era um limpador disfarçado de ransomware, pagar o resgate do Bad Rabbit permitiu a recuperação dos arquivos criptografados.
• Lado escuro: DarkSide é um grupo de ransomware extinto, mais famoso por seu ataque ao Colonial Pipeline em maio de 2021. Acredita-se agora que o grupo opere sob o nome BlackMatter.
• Querido Choro: DearCry é uma variante de ransomware desenvolvida pelo grupo HAFNIUM para explorar a vulnerabilidade do Microsoft Exchange relatada em março de 2021.

Proteja-se contra ransomware com Check Point

A grande variedade de variantes de ransomware e vetores de ataque pode dificultar defender contra e Remova eles. A proteção contra um vetor de ataque de ransomware pode não oferecer segurança contra outro.

Proteção Harmony Endpoint oferece recursos de detecção e prevenção de ransomware líderes de mercado de acordo com o Avaliação de MITRE Engenuity ATT&CK. Saiba mais sobre a pandemia de ransomware e outras tendências de ameaças cibernéticas no Relatório de tendências ciberataque 2021. Você também é bem-vindo Inscreva-se para uma avaliaçãogratuita para ver você mesmo os recursos de prevenção de ransomware do Harmony Endpoint.