This post is also available in: Português Español
Famoso evento de segurança digital reafirma preocupação com crackers que invadem sistemas e cobram resgate para descriptografar arquivos e não vazar dados sigilosos.
Desde 1997, a Black Hat realiza uma série de eventos de segurança cibernética com abrangência internacional, abordando as mais recentes pesquisas e tendências do setor. No evento deste ano, encerrado há poucos dias nos EUA, um tema se destacou: dupla extorsão por ransomware.
Quando atinge as empresas, esse tipo de golpe virtual bloqueia o acesso aos seus sistemas e deixa os invasores com total poder sobre os arquivos. Hoje, entre os ransomwares mais conhecidos estão o WannaCry, Cryptolocker, NotPetya, Gandcrab e Locky. Muitos deles cobram dois resgates em uma única invasão: pedem dinheiro para devolver o acesso aos arquivos e também para não vazar as informações na internet. Ou seja, duas cobranças por dois “serviços”.
Esse tipo de ataque não é novidade, mas tem chamado atenção pela frequência. Ferramentas automatizadas estão sendo usadas em ataques de força bruta contra sistemas online para carregar os ransomwares. Assim, cria-se ataques à cadeia de suprimentos como um todo, e os pedidos de resgate em criptomoedas permitem que os cibercriminosos fiquem ainda menos rastreáveis.
Nesse contexto, cria-se um cenário atrativo aos golpistas. Afinal, há grandes possibilidades de lucro e alto grau de impunidade. Dessa maneira, muitos cibercriminosos estão perseguindo grandes empresas em busca do maior ganho financeiro possível.
Na Black Hat deste ano, Edmund Brumaghin, engenheiro de pesquisa da Cisco Secure, disse que a chamada tendência de “caça grande” desenvolveu ainda mais as táticas pelos operadores de ransomware. Agora que a caça aos grandes ganhou os holofotes, Brumaghin diz que os ciberataques não estão implantando ransomware de maneira imediata em um sistema-alvo. Em vez disso, os agentes obtêm um ponto de acesso inicial e depois se movem lateralmente por uma rede – sem serem percebidos – conquistando acesso ao maior número possível de sistemas.
“Depois de maximizar a porcentagem do ambiente sob seu controle, eles implantam o ransomware”, comentou Brumaghin. “É um daqueles tipos de ataque em que eles sabem que as empresas podem ser forçadas a pagar porque, em vez de um único endpoint ser infectado, agora 70 ou 80 por cento da infraestrutura do lado do servidor está sendo afetada operacionalmente ao mesmo tempo”. É como um câncer que só mostra sintomas após atingir dezenas de órgãos.
Golpe duplo
Depois que a vítima perde o controle de seus sistemas, ela se depara com o problema alertado por Brumaghin: a tendência de extorsão dupla. Enquanto um invasor está à espreita em uma rede, ele também pode vasculhar arquivos e exfiltrar dados corporativos confidenciais – incluindo informações de clientes ou de propriedade intelectual – e então ameaçar suas vítimas com um vazamento.
“Não estão apenas dizendo que a vítima possui uma determinada quantidade de tempo para pagar o pedido de resgate e recuperar o acesso ao seu servidor. Estão dizendo que se você não pagar, vão começar também a liberar todas as informações confidenciais na Internet para o público em geral”, observou Brumaghin.
Essa tática tornou-se tão popular nos últimos anos que os operadores de ransomware costumam criar sites de vazamento, tanto na dark web quanto na internet convencional. De acordo com o pesquisador, é algo cada vez mais intenso e frequente, até porque os grupos de ransomware começaram a empregar Corretores de Acesso Inicial (IABs) para eliminar parte do trabalho braçal necessário para lançar um ataque cibernético.
Os IABs podem ser encontrados em fóruns da dark web e contatados de forma privada. Esses crackers vendem o acesso inicial a um sistema comprometido – como por meio de uma vulnerabilidade VPN ou credenciais roubadas – e assim os invasores podem contornar os estágios iniciais de infecção se estiverem dispostos a pagar pelo acesso a uma rede, economizando tempo e esforço .
“Do ponto de vista do cibercriminosos, isso tudo faz muito sentido “, disse Brumaghin. “Quando você considera alguns dos pedidos de resgate que estamos vendo, em muitos casos faz sentido para eles, pois ao invés de tentar fazer todo o esforço, podem simplesmente contar com corretores de acesso inicial para lhes vender o acesso que já foi conquistado”.
A equipe de segurança da Cisco também notou um aumento nos ‘cartéis’ de ransomware: grupos que compartilham informações e trabalham juntos para identificar as técnicas e táticas com maior probabilidade de resultar em geração de receita. “Estamos vendo uma tonelada de novos atores de ameaças começando a adotar esse modelo de negócios e continuamos a ver novos surgindo, então é algo que as empresas realmente precisam estar cientes”.
This post is also available in: Português Español
