This post is also available in: Português Español
Atividade passa por transformações que ampliaram os lucros, os concorrentes e a letalidade de suas investidas.
Em dezembro do ano passado, o mercado de ransomware ganhou o papel de destaque em todo o dinheiro oriundo de crimes cibernéticos. Com base na análise de mais de 500 ataques observados pelo Grupo IB e atividade de inteligência contra ameaças virtuais, os pesquisadores estimam que o número de ataques de ransomware cresceu mais de 150% em 2020.
Durante o período, os ataques de ransomware causaram, em média, 18 dias de inatividade para as empresas afetadas, enquanto o valor médio do resgate quase dobrou. E um dos motivos para essa ascensão foi a pandemia.
É sabido que a COVID-19 deixou muitas empresas vulneráveis de diversas maneiras, incluindo tudo o que envolve ameaças cibernéticas. Nesse contexto, o ransomware acabou por ser o que mais se capitalizou. Os ataques não só aumentaram em frequência, mas também em escala e sofisticação. A demanda média de resgate mais que duplicou, e chegou a US$ 170 mil em 2020.
Esses ransomwares fizeram com que os servidores RDP voltados ao público fossem o alvo mais comum de muitos grupos de crackers. Com milhares trabalhando via home office, o número desses servidores cresceu exponencialmente. Em 52% de todos os ataques, servidores RDP acessíveis ao público foram usados para obter acesso inicial, tendo o phishing (29%) em segundo lugar.
Roubando dos ricos
Big Game Hunting é uma modalidade de ataque de ransomware direcionado a empresas de altíssimo faturamento. Na esperança de garantir o maior resgate possível, os ataques a essas companhias vieram aos montes.
Grupos como Lazarus e APT27 começaram a se aventurar na atividade. Conti, Egregor e DarkSide fizeram o mesmo. Muitos deles foram tão prolíficos que chegaram ao topo das gangues mais ativas em seu ano de estreia. As 5 famílias de ransomware mais ativas, de acordo com o Group-IB, foram Maze, Conti, Egregor, DoppelPaymer e REvil. Contudo, por vários motivos, nem todos duraram muito tempo.
É que tanto sucesso acabou os colocando no centro das atenções das autoridades. Algumas gangues que operam sob o modelo Ransomware-as-a-Service (RaaS), como Egregor e Netwalker, foram afetadas por operações da polícia. Outro notório coletivo do tipo RaaS, o Maze, encerrou suas atividades no final de 2020. Apesar desses contratempos, o negócio de ransomware continua prosperando, com o modelo RaaS sendo uma das forças motrizes por trás desse crescimento todo.
E não é muito difícil entender o porquê. Ransomware-as-a-Service envolve os desenvolvedores que vendem ou alugam seus malwares para afiliados, o que leva a um maior comprometimento da rede e implantação de ransomware. Os lucros são compartilhados entre as operadoras e afiliadas do programa, e os pesquisadores observaram que 64% de todos os ataques de ransomware em 2020 vieram de operadores usando o modelo RaaS.
Com a expansão do ransomware em 2020, quem usa malwares convencionais – como Trickbot, Qakbot e Dridex – ajudou muitos operadores de ransomware a obter acesso inicial a redes-alvo com cada vez mais frequência. No ano passado, muitos operadores de botnet fizeram parceria com gangues de ransomware, explorando scripts como o PowerShell.
Sua popularidade entre os invasores é explicada pelo fato de que faz parte de todos os sistemas baseados no Windows, o que torna mais fácil disfarçar atividades maliciosas. Contudo, em 2020 esteve em alta também a exploração ativa do Linux, com alguns agentes de ameaças adicionando versões correspondentes ao seu arsenal.
Crescendo em silêncio
Com base nas observações do Grupo IB, os operadores de ransomware passaram 13 dias em média na rede comprometida antes de criptografar os dados. Antes de implantar o ransomware, os operadores localizavam e removiam todos os backups disponíveis, de forma que fosse impossível para a vítima recuperar os arquivos atingidos.
Assim, junte esse poder devastador com as vulnerabilidades que a pandemia trouxe, e o resultado é um cenário de sucesso para os crackers.
“O Covid-19 levou o ransomware para a realidade de todas as empresas, e também fez dele o rosto principal do crime cibernético de 2020”, disse Oleg Skulkin, analista forense digital sênior do Grupo IB.
Nesse contexto, algo que costumava ser uma prática rara, agora evoluiu para uma indústria multibilionária, organizada com concorrência interna, líderes de mercado, alianças estratégicas e vários modelos de negócios.
Devido à sua lucratividade, o número de programas RaaS continuará crescendo, e consequentemente mais crackers se concentrarão em obter acesso a redes para revender.
Além disso, as crescentes demandas de resgate serão acompanhadas por técnicas cada vez mais avançadas. Tendo em vista que a maioria dos ataques é operada por humanos, é fundamental que as empresas entendam como os invasores agem, conhecendo quais ferramentas usam para então tentar conter os ataques. “Agora, é uma preocupação de todos”, disse Skulkin.
This post is also available in: Português Español