Ataques recentes de ransomware

Uma das variantes de malware mais famosas existentes atualmente, o ransomware – que permite a um cibercriminoso negar à vítima o acesso aos seus arquivos até que um resgate seja pago – tornou-se um foco importante tanto de cibercriminosos quanto de ciberdefensores.

O ransomware funciona usando algoritmos de criptografia, projetados para garantir que apenas alguém com acesso à chave de descriptografia possa reverter a transformação aplicada aos dados criptografados e restaurar a versão original utilizável. A vítima é motivada a pagar um resgate pela perda de acesso a dados valiosos e, após o pagamento do resgate, tudo o que o operador do ransomware deve fazer é fornecer uma chave de descriptografia curta para restaurar o acesso a todos os dados criptografados.

Fale com um especialista Saiba mais

A evolução dos ataques de ransomware

A teoria por trás do ransomware é bastante simples e não varia muito de uma variante de ransomware para outra. No entanto, as especificidades de como o ransomware é usado pelos cibercriminosos podem ser muito diferentes para diferentes grupos e campanhas de ataque, e evoluíram significativamente nos últimos anos.

Ataques de ransomware em 2021

De acordo com a Checkpoint Research, o número de organizações afetadas por ransomware a nível global mais do que duplicou no primeiro semestre de 2021 em comparação com 2020, e os setores de saúde e serviços públicos são os setores mais visados desde o início de abril de 2021.

O sucesso da dupla extorsão em 2020 tem sido evidente, especialmente desde o início da pandemia de Covid-19. Embora nem todos os casos – e os seus resultados – sejam relatados e divulgados, as estatísticas recolhidas entre 2020 e 2021 ilustram a importância do vector de agressão. O preço médio do resgate aumentou 171% no ano passado, para quase US$ 310.000.

Os ataques de ransomware que ocorreram no final de 2020 e no início de 2021 apontam para uma nova cadeia de ataque – essencialmente uma ampliação da abordagem ransomware de dupla extorsão, incorporando uma ameaça extra e única ao processo – um ataque de tripla extorsão

Ataques famosos em 2021 – hack do Microsoft Exchange, rede Colonial Pipeline, cidade de Tulsa, JBS Meat Company, Fujifilm

Ataques de ransomware em 2020

No final de 2019 e início de 2020, surgiu uma nova tendência em ataques de ransomware. Em vez de se restringirem a criptografar os arquivos das vítimas, os autores de ransomware também começaram a roubar dados confidenciais de seus alvos. Variantes de ransomware que roubam dados do usuário incluem Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet e Snatch.

Essa medida foi uma resposta às organizações que se recusaram a pagar pedidos de resgate após serem vítimas de uma infecção por ransomware. Embora o custo de remediar um ataque de ransomware seja muitas vezes superior ao resgate exigido, as melhores práticas determinam que os resgates não devem ser pagos, uma vez que permitem aos cibercriminosos continuar as suas operações e realizar ataques adicionais.

Ao roubar dados de computadores infectados antes de criptografá-los, os operadores de ransomware poderiam ameaçar expor esses dados caso a vítima se recusasse a pagar o resgate. Dependendo do tipo de dados coletados e vazados, isso pode fazer com que uma organização perca vantagem competitiva no mercado ou entre em conflito com leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR), por não proteger os dados dos clientes confiados. para isso.

Ataques de ransomware em 2019

2019 ficou famoso como o ano em que os operadores de ransomware mudaram seu foco para instituições críticas. Somente nos primeiros três trimestres de 2019, mais de 621 hospitais, escolas e cidades nos Estados Unidos foram vítimas de ataques de ransomware por Ryuk e outras variantes de ransomware. Estes ataques tiveram um preço estimado em centenas de milhões de dólares e fizeram com que as cidades não conseguissem prestar serviços aos seus residentes e que os hospitais fossem forçados a cancelar procedimentos não essenciais para prestar cuidados críticos aos pacientes.

Esta nova abordagem ao ransomware aproveitou a importância dos serviços que estas organizações prestam. Ao contrário de algumas empresas, que podiam resistir a operações degradadas enquanto recuperavam de um ataque, cidades, escolas e hospitais precisavam de restabelecer as operações o mais rapidamente possível e muitas vezes tinham acesso a fundos de emergência. Como resultado, os ataques de ransomware contra essas organizações foram frequentemente bem-sucedidos e continuam a ocorrer.

1.Ryuk – janeiro de 2019

Ao contrário da maioria dos ataques de ransomware que visam indivíduos e empresas aleatórios, o ransomware Ryuk foi um ataque altamente direcionado. Os criminosos cibernéticos por trás desta operação tinham como alvo vítimas cujos negócios seriam gravemente perturbados, mesmo por um pequeno período de inatividade.

Ryuk foi projetado para criptografar os servidores da empresa e interromper os negócios até que o resgate fosse pago, em vez de roubar ou comprometer os dados de um indivíduo.

Os alvos de Ryuk

As vítimas visadas incluíam jornais, incluindo todos os jornais do Tribune, e uma empresa de abastecimento de água na Carolina do Norte. Os jornais afetados tiveram que produzir uma versão reduzida das notícias diárias que não incluísse anúncios classificados pagos.

Os detalhes

Ryuk infectou sistemas por meio de malware chamado TrickBot e software de desktop remoto. Depois de bloquear o acesso aos servidores, Ryuk exigiu entre 15 e 50 Bitcoins, o que representava cerca de US$ 100.000 a US$ 500.000.

Além de desabilitar servidores, infectar endpoints e criptografar backups, Ryuk desabilitou a opção de restauração do sistema Windows SO para evitar que as vítimas se recuperassem do ataque.

Quando o malware foi descoberto, foram criados patches para impedir o ataque, mas não funcionaram. No momento em que os servidores voltaram a ficar online, Ryuk começou a reinfectar toda a rede de servidores.

Especialistas da McAfee suspeitam que o Ryuk foi construído usando código originado de um grupo de hackers norte-coreanos que se autodenominam Grupo Lazarus. Embora o ransomware exigisse que o idioma do computador fosse definido como russo, bielorrusso ou ucraniano para ser executado.

2. PureLocker – ativo em 2020

Assim como o Ryuk, o PureLocker foi projetado para criptografar servidores inteiros e exigir resgate para restaurar o acesso. O malware foi projetado especificamente para passar despercebido, ocultando seu comportamento malicioso em ambientes sandbox e imitando funções normais. Ele também se exclui após a execução do código malicioso.

Alvos do PureLocker

O PureLocker teve como alvo os servidores de grandes corporações que os invasores acreditariam que pagariam um resgate pesado.

Os detalhes

Após uma análise minuciosa, os pesquisadores criptográficos da Intezer e IBM X-Force nomearam este ransomware como PureLocker porque foi escrito na linguagem de programação PureBasic.

Escrever malware em PureBasic é incomum, mas deu aos invasores uma grande vantagem: é difícil detectar software malicioso escrito em PureBasic. Os programas PureBasic também são facilmente usados em diversas plataformas.

O PureLocker ainda está sendo executado por grandes organizações cibercriminosas. Os especialistas acreditam que o PureLocker está sendo vendido como um serviço para organizações cibercriminosas que possuem o conhecimento necessário para atingir grandes empresas. Estranhamente, o ransomware como serviço (RaaS) agora é uma “coisa”.

Os especialistas em segurança cibernética não sabem exatamente como o PureLocker está chegando aos servidores; adotar uma abordagem de confiança zero para segurança de rede é a melhor maneira de se proteger contra ameaças desconhecidas.

3. REvil/Sodinokibi – abril de 2019

REvil é um malware de uma cepa chamada GandCrab que não pode ser executado na Rússia, na Síria ou em vários outros países próximos. Isso indica que sua origem é daquela área.

Assim como o PureLocker, acredita-se que o REvil seja um ransomware como serviço e especialistas em segurança disseram que é um dos piores casos de ransomware vistos em 2019.

Por que REvil é tão ruim? Na maioria dos ataques de ransomware, as pessoas podem ignorar o pedido de resgate e reduzir as perdas. No entanto, os responsáveis pelo ataque ameaçaram publicar e vender os dados confidenciais que criptografaram se o resgate não fosse pago.

Alvos do REvil

Em setembro de 2019, o REvil fechou pelo menos 22 pequenas cidades no Texas. Três meses depois, na véspera de Ano Novo, o REvil fechou a Travelex – um provedor de câmbio do Reino Unido.

Quando a Travelex faliu, as bolsas de aeroporto tiveram que seguir a velha escola e criar livros contábeis em papel para documentar as trocas. Os cibercriminosos exigiram um resgate de US$ 6 milhões, mas a Travelex não confirma nem nega o pagamento dessa quantia.

Os detalhes

REvil explora vulnerabilidade em servidores Oracle WebLogic e no pulse Connect Secure VPN.

4. Condado de Jefferson, Geórgia - 1º de março de 2019

Em 1º de março de 2019, um ransomware atacou o centro de despacho 911 do condado de Jefferson e o colocou off-line. Os funcionários da prisão do condado também perderam a capacidade de abrir as portas das celas remotamente e os policiais não conseguiam mais recuperar dados de placas de seus laptops.

Sem um sistema 911 funcional, toda a cidade ficou vulnerável aos efeitos secundários deste ataque de ransomware. Os despachantes não tiveram acesso a computadores durante duas semanas.

O sistema de videoconferência que permitia aos presidiários se conectarem com familiares também caiu. Os guardas tinham de acompanhar pessoalmente os presos às visitas familiares, o que aumentava o risco para a sua segurança.

A cidade pagou o resgate de US$ 400 mil e conseguiu restaurar seus sistemas.

5. Robin Hood - 2019

Em 10 de abril de 2019, a cidade de Greenville, NC foi atacada por um ransomware chamado RobinHood. Quando a maioria dos servidores da cidade ficou offline, a equipe de TI da cidade colocou os servidores restantes offline para mitigar os danos.

Este ataque não foi a primeira vez que RobinHood fez sua ronda. Em maio de 2019, a cidade de Baltimore foi duramente atingida. A cidade teve que gastar mais de US$ 10 milhões para se recuperar de um ataque do RobinHood. Embora o resgate tenha sido de apenas US$ 76.000, custou à cidade US$ 4,6 milhões para recuperar os dados e todos os sistemas da cidade ficaram inoperantes por um mês. A cidade sofreu US$ 18 milhões em danos.

Ataques de ransomware em 2018

Em 2018, a popularidade do ransomware caiu à medida que o aumento no valor da criptomoeda levou a um aumento no cryptojacking. O malware Cryptojacking foi projetado para infectar um computador alvo e usá-lo para executar as etapas de computação pesada necessárias para “minerar” Bitcoin e outras criptomoedas de Prova de Trabalho (PoW) e receber as recompensas associadas à descoberta de um bloco válido.

No entanto, isso não quer dizer que o ransomware estivesse completamente inativo em 2018. Em agosto de 2018, o ransomware Ryuk (uma das principais ameaças de ransomware da atualidade) foi descoberto pela primeira vez “na natureza”. O surgimento do Ryuk foi parte de uma mudança na forma como os operadores de ransomware ganharam dinheiro. Ataques como o WannaCry visavam a quantidade em vez da qualidade, atacando o maior número possível de vítimas e exigindo um pequeno resgate de cada uma. No entanto, esta abordagem nem sempre foi lucrativa, uma vez que a pessoa média não tinha o conhecimento necessário para pagar um resgate em criptomoeda. Como resultado, os operadores de ransomware tiveram que fornecer uma quantidade significativa de “atendimento ao cliente” para receber seus pagamentos.

Em 2018 e além, os operadores de ransomware tornaram-se mais seletivos na escolha dos alvos. Ao atacar empresas específicas, os cibercriminosos poderiam aumentar a probabilidade de os dados encriptados pelo seu malware serem valiosos e de o seu alvo ser capaz de pagar o resgate. Isto permitiu que os operadores de ransomware exigissem um preço mais elevado por vítima, com uma expectativa razoável de serem pagos.

Ataques de ransomware em 2017

2017 foi o ano em que o ransomware realmente entrou na consciência pública. Embora o ransomware já exista há décadas, os ataques WannaCry e NotPetya de 2017 tornaram esse tipo de malware um nome familiar. Essas variantes de ransomware também inspiraram outros cibercriminosos e autores de malware a entrar no espaço do ransomware.

WannaCry é um worm ransomware que usa o exploit EternalBlue, desenvolvido pela NSA, para se espalhar de computador para computador. Em um período de três dias, o WannaCry conseguiu infectar mais de 200.000 computadores e causar bilhões de dólares em danos antes que o ataque fosse encerrado por um pesquisador de segurança visando seu “kill switch” integrado.

NotPetya é um exemplo de uma variante famosa que na verdade não é ransomware, mas sim um malware de limpeza que se disfarça de ransomware. Embora exigisse pagamentos de resgate de suas vítimas, o código do malware não tinha como fornecer aos operadores do malware uma chave de descriptografia. Como não tinham a chave, não podiam fornecê-la às vítimas, impossibilitando a recuperação dos arquivos criptografados.

Proteção contra ransomware

O ransomware provou ser uma ferramenta extremamente eficaz para os cibercriminosos. A perda de acesso aos seus dados motivou muitas organizações a pagar grandes resgates para recuperá-los. O sucesso do ransomware significa que é improvável que ele desapareça como uma ameaça à segurança cibernética das organizações. A proteção contra esse malware prejudicial requer a implantação de uma soluçãoransomware especializada.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK