Com o advento do “big game hunting” no ransomware, os criminosos estão ficando criativos na forma como selecionam as vítimas, maximizam a interrupção e incentivam o pagamento de resgates. Essa tática envolve a busca de alvos de alto valor e alto perfil e ataques de tempo para infligir danos extensos.
As organizações mais afetadas negativamente pelo tempo de inatividade, tendem a ser as vítimas como as áreas de educação, saúde e governo.
A forma como os criminosos de ransomware estão extorquindo as organizações evoluiu drasticamente desde 2019. Além das crescentes demandas de resgate, os métodos dos criminosos para exercer pressão estão se tornando mais intensos, criativos e públicos. Responder a esses novos desafios requer uma abordagem abrangente de Zero Trust para negar aos invasores a capacidade de explorar vetores de ataque e mover-se lateralmente.
Embora as estratégias de ransomware mudem constantemente, os ataques dos criminosos nos últimos dois anos têm um tema comum, suas táticas de extorsão são mais problemáticas e visíveis, com riscos muito maiores. O objetivo não é mais apenas criptografar arquivos, mas tornar as possíveis repercussões para a vítima tão significativas que pagar o resgate parece ser a única opção, aumentando assim suas taxas de sucesso. Aqui estão sete táticas recentes que os invasores usaram:
Antes de 2019, era raro os criminosos roubarem dados com a intenção de vazá-los. No entanto, até o terceiro trimestre de 2021, 83,3% dos ataques envolviam a ameaça de exfiltração de dados, de acordo com uma análise. Diferentes cartéis de ransomware explicam como conduzem as negociações e incentivam o pagamento. Alguns, como o grupo de ransomware Clop, exigem dois resgates separados, um para obter a chave de criptografia e outro para evitar que os arquivos vazem. Isso significa que, mesmo que uma organização tenha backups para restaurar, ela pode pagar para evitar danos à reputação ou multas relacionadas à privacidade de dados. Os invasores também podem devolver o acesso a alguns arquivos iniciais como uma medida de boa fé, o ransomware equivalente a uma avaliação gratuita. Ou eles podem vazar algum material imediatamente e publicar o restante em incrementos de tempo.
Com a tripla extorsão, os invasores entram em contato com clientes, parceiros de negócios e outros terceiros associados à organização vítima.Em alguns casos, trata-se de exigir pagamento de terceiros, como ocorreu com um ataque a uma clínica de psicoterapia.Os pacientes foram instruídos a pagar se não quisessem que as anotações de suas sessões fossem publicadas on-line.Em outros casos, os criminosos dizem aos destinatários para entrar em contato com a organização vítima e exigir o pagamento do resgate, terceirizando assim alguns dos esforços de coerção.
De acordo com o FBI, algumas organizações são visadas com base em eventos iminentes, como fusões, aquisições e anúncios de produtos.Os riscos de danos à reputação e uma queda no valor das ações tornam o pedido de resgate mais convincente.O FBI relata que isso também ocorre em fusões com negociações privadas.Ao se infiltrar nas redes, os criminosos procuram descobrir dados não públicos para identificar os alvos e motivar o pagamento.Um vazamento pode ser particularmente devastador para uma organização, se envolver o lançamento de um projeto ou roteiro de produto, uma vez que destrói a vantagem competitiva.O FBI descobriu que os invasores atacam com frequência nos feriados e fins de semana, quando é mais fácil causar interrupções.
Os criminosos estão oprimindo e assediando as vítimas em vários canais. Usando as informações adquiridas ao se infiltrar em uma rede, alguns grupos ligam e enviam e-mails para os funcionários. Por exemplo, os criminosos que usam o ransomware Egregor imprimiram notas de resgate remotamente nas próprias impressoras das organizações. Alguns usam cronômetros de contagem regressiva para destacar quando uma oferta de resgate expira ou quando o valor exigido vai aumentar.
Dezenas de sites para publicação de dados roubados surgiram nos últimos dois anos. Os criminosos vão postar dados de vítimas não pagantes nessas páginas ou vazar arquivos um a um para aumentar a intensidade durante as negociações. A publicação de dados pessoais obriga a organização vítima a denunciar a violação às autoridades, que podem aplicar multas.
As táticas para aumentar a visibilidade de um ataque são extremamente variadas. Por exemplo, os invasores podem aumentar a pressão para pagar, e expor uma organização a batalhas legais de privacidade de dados, entrando em contato com jornalistas. O grupo Ragnar Locker chamou a atenção para um ataque ao comprar anúncios no Facebook com credenciais roubadas. Alguns grupos de ransomware buscam lucros globalmente ao leiloar os dados das vítimas. Um que rendeu muitas manchetes foi o leilão do grupo REvil de dados de clientes de um escritório de advocacia de celebridades.
Enquanto uma organização já está sobrecarregada tendo que contatar autoridades legais e os clientes afetados, localizar backups de arquivos e minimizar o movimento lateral, alguns invasores ameaçam ou instigam um ataque de negação de serviço distribuída.Durante um período agitado, sobrecarregar uma rede aumenta o estresse e envolve mais recursos de TI.
Por que as táticas de extorsão mudaram tão repentinamente, quando o ransomware já existe há décadas?
Os criminosos agora podem exigir mais pagamentos de resgate porque as apostas são consideravelmente maiores para as organizações vítimas permanecerem on-line. Evitar o tempo de inatividade é essencial quando grande parte da vida acontece on-line, os criminosos sabem como é perturbador se interferirem nas conexões remotas dos funcionários, nas aulas dos alunos, nas consultas dos pacientes, nos pedidos dos clientes ou em outros aspectos das operações diárias. Mesmo que uma organização tenha backups para restaurar, o tempo que isso leva pode causar um impacto financeiro maior do que pagar o resgate.
Outros fatores por trás da evolução das táticas de ataque nos últimos dois anos incluem:
A ascensão do ransomware como serviço. Assim como uma organização pode adquirir um firewall por meio de um serviço baseado em nuvem, qualquer pessoa pode alugar e implantar ransomware, independentemente de sua capacidade técnica.Esse modelo, que envolve preços com taxa fixa ou o pagamento de uma porcentagem dos resgates recebidos, diminui as barreiras de entrada para iniciar um ataque.
Margens de lucro surpreendentemente altas.Uma estimativa coloca a margem de lucro do ransomware em 98%.Em comparação com outros negócios ilícitos, o ransomware apresenta riscos substancialmente menores de prisão e morte, incentivando ainda mais os participantes do mercado.
Obrigações de proteção de dados privados.Após a promulgação e aplicação de regulamentos de privacidade, como o GDPR, os vazamentos de dados podem gerar multas significativas para as organizações vítimas, e possíveis ações judiciais de pessoas cujos dados são expostos.Isso afeta a forma como os criminosos escolhem seus alvos e calculam os resgates, sabendo que as organizações farão análises de custo-benefício ao planejar a resposta a incidentes.
As organizações precisam de uma estratégia abrangente e multifacetada para ajudar a prevenir e mitigar o ransomware, principalmente porque essas novas táticas de extorsão aumentam as possíveis consequências de um ataque.
Uma campanha de ransomware é composta por várias fases e, portanto, existem inúmeras oportunidades para interrompê-la. Adotar um modelo de segurança Zero Trust é uma maneira de reforçar o perímetro de uma rede e limitar o movimento lateral. Essa abordagem, que envolve impor controles de acesso rígidos e não confiar em nenhum usuário ou sistema por padrão, diminui as chances de um criminoso escalar privilégios e encontrar alavancagem adicional para intensificar as negociações.
Os aspectos do Zero Trust que ajudam a prevenir e mitigar ataques de ransomware incluem:
Acesso com menor privilégio: dar a cada usuário acesso apenas às partes da rede de que ele precisa minimiza a exposição e a possibilidade de movimento lateral, se ocorrer um ataque.
Autenticação multi-factor: exigir mais de um meio de prova de identidade torna mais difícil para um invasor se passar por um usuário.
Isolamento do navegador: ao limitar a atividade de navegação a um ambiente entreaberto baseado em nuvem, as organizações podem proteger as redes contra sites e aplicativos maliciosos.
Filtragem de DNS: impedir que usuários e endpoints carreguem sites maliciosos ajuda a manter o ransomware fora dos dispositivos do usuário e da rede em geral.
Verificações de postura de usuários e dispositivos: a verificação cruzada contínua com provedores de segurança de endpoint e provedores de identidade garante que apenas usuários e dispositivos seguros possam se conectar à rede.
O Cloudflare One, uma plataforma de rede como serviço (NaaS) Zero Trust, combina serviços de segurança e rede para conectar com segurança usuários remotos, escritórios e data centers. Ele ajuda a prevenir o ransomware isolando a navegação de alto risco, bloqueando o acesso a URLs maliciosos e protegendo as portas abertas do servidor contra invasões externas.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Após ler este artigo, você entenderá:
Táticas de extorsão de ransomware novas e agressivas
Os fatores que impulsionam esses métodos de mudança
Como os invasores aproveitam os dados que adquirem durante a infiltração na rede para motivar as negociações
A importância dos princípios Zero Trust na mitigação do ransomware
Confira o guia sobre o papel que o Zero Trust desempenha na jornada para a adoção do SASE.