Os vírus ransomware, como outros tipos de malware, evoluem e mudam ao longo dos anos - desde simples armários que impediam o usuário de fazer login no sistema, e ransomware “policial” que ameaçava ser processado por violações fictícias da lei, chegamos aos programas de criptografia. Esses malwares criptografam arquivos em discos rígidos (ou unidades inteiras) e exigem resgate não pela devolução do acesso ao sistema, mas pelo fato de que as informações do usuário não serão excluídas, vendidas na darknet ou expostas ao público online . Além disso, pagar o resgate não garante de forma alguma o recebimento da chave para descriptografar os arquivos. E não, isto “já aconteceu há cem anos”, mas ainda é uma ameaça atual.
Dado o sucesso dos hackers e a rentabilidade deste tipo de ataque, os especialistas acreditam que a sua frequência e engenhosidade só aumentarão no futuro. Por Cybersecurity Ventures, em 2016, os vírus ransomware atacaram empresas aproximadamente uma vez a cada 40 segundos, em 2019 isso acontece uma vez a cada 14 segundos, e em 2021 a frequência aumentará para um ataque a cada 11 segundos. Vale ressaltar que o resgate exigido (especialmente em ataques direcionados a grandes empresas ou infraestruturas urbanas) costuma ser muitas vezes menor que o dano causado pelo ataque. Assim, o ataque de Maio às estruturas governamentais em Baltimore, Maryland, nos EUA, causou danos superiores a , sendo o valor do resgate declarado pelos hackers de 76 mil dólares em equivalente bitcoin. A , Geórgia, custou à cidade US$ 2018 milhões em agosto de 17, com um resgate exigido de US$ 52 mil.
Os especialistas da Trend Micro analisaram ataques utilizando vírus ransomware nos primeiros meses de 2019, e neste artigo falaremos sobre as principais tendências que aguardam o mundo no segundo semestre.
Vírus ransomware: um breve dossiê
O significado do vírus ransomware fica claro pelo seu próprio nome: ameaçando destruir (ou, inversamente, publicar) informações confidenciais ou valiosas para o usuário, os hackers usam-no para exigir um resgate pelo retorno do acesso a ele. Para usuários comuns, tal ataque é desagradável, mas não crítico: a ameaça de perder uma coleção de músicas ou fotos das férias dos últimos dez anos não garante o pagamento de resgate.
A situação parece completamente diferente para as organizações. Cada minuto de inatividade comercial custa dinheiro, portanto, a perda de acesso a um sistema, aplicativos ou dados para uma empresa moderna equivale a perdas. É por isso que o foco dos ataques de ransomware nos últimos anos mudou gradualmente do bombardeio de vírus para a redução da atividade e para ataques direcionados a organizações em áreas de atividade em que a chance de receber um resgate e seu tamanho são maiores. Por sua vez, as organizações procuram proteger-se contra ameaças de duas formas principais: desenvolvendo formas de restaurar eficazmente a infraestrutura e as bases de dados após ataques, e adotando sistemas de defesa cibernética mais modernos que detectam e destroem prontamente o malware.
Para se manter atualizada e desenvolver novas soluções e tecnologias de combate a malware, a Trend Micro analisa continuamente os resultados obtidos em seus sistemas de segurança cibernética. De acordo com a Trend Micro , a situação dos ataques de ransomware nos últimos anos é assim:
Escolha da vítima em 2019
Este ano, os cibercriminosos tornaram-se claramente muito mais selectivos na escolha das vítimas: têm como alvo organizações que estão menos protegidas e estão dispostas a pagar uma grande quantia para restaurar rapidamente as operações normais. É por isso que, desde o início do ano, já foram registados vários ataques a estruturas governamentais e à administração de grandes cidades, incluindo Lake City (resgate - 530 mil dólares americanos) e Riviera Beach (resgate - 600 mil dólares americanos) .
Divididos por setor, os principais vetores de ataque são assim:
— 27% — agências governamentais;
— 20% — produção;
— 14% — cuidados de saúde;
— 6% — comércio retalhista;
— 5% — educação.
Os cibercriminosos costumam usar OSINT (inteligência de fonte pública) para se preparar para um ataque e avaliar sua lucratividade. Ao coletar informações, eles entendem melhor o modelo de negócios da organização e os riscos à reputação que ela pode sofrer com um ataque. Os hackers também procuram os sistemas e subsistemas mais importantes que podem ser completamente isolados ou desativados usando vírus ransomware - isso aumenta a chance de receber um resgate. Por último, mas não menos importante, avalia-se o estado dos sistemas de cibersegurança: não faz sentido lançar um ataque a uma empresa cujos especialistas em TI conseguem repeli-lo com grande probabilidade.
No segundo semestre de 2019, esta tendência ainda será relevante. Os hackers encontrarão novas áreas de atividade nas quais a interrupção dos processos empresariais leva a perdas máximas (por exemplo, transportes, infraestruturas críticas, energia).
Métodos de penetração e infecção
Mudanças também ocorrem constantemente nesta área. As ferramentas mais populares continuam sendo o phishing, anúncios maliciosos em sites e páginas da Internet infectadas, bem como explorações. Ao mesmo tempo, o principal “cúmplice” dos ataques ainda é o usuário funcionário que abre esses sites e baixa arquivos por meio de links ou de e-mail, o que provoca maior infecção de toda a rede da organização.
No entanto, no segundo semestre de 2019 estas ferramentas serão adicionadas a:
- uso mais ativo de ataques por meio de engenharia social (ataque em que a vítima realiza voluntariamente as ações desejadas pelo hacker ou fornece informações, acreditando, por exemplo, que está se comunicando com um representante da direção ou cliente da organização), que simplifica a coleta de informações sobre funcionários de fontes publicamente disponíveis;
- uso de credenciais roubadas, por exemplo, logins e senhas para sistemas de administração remota, que podem ser adquiridos na darknet;
- hacking físico e penetração que permitirá que hackers locais descubram sistemas críticos e derrotem a segurança.
Métodos para ocultar ataques
Graças aos avanços na segurança cibernética, incluindo a Trend Micro, a detecção de famílias clássicas de ransomware tornou-se muito mais fácil nos últimos anos. As tecnologias de aprendizado de máquina e análise comportamental ajudam a identificar o malware antes que ele penetre no sistema, por isso os hackers precisam encontrar formas alternativas de ocultar os ataques.
As já conhecidas dos especialistas na área de segurança de TI e as novas tecnologias dos cibercriminosos têm como objetivo neutralizar sandboxes para análise de arquivos suspeitos e sistemas de aprendizado de máquina, desenvolver malware sem arquivo e usar software licenciado infectado, incluindo software de fornecedores de segurança cibernética e diversos serviços remotos com acesso a rede da organização.
Conclusões e recomendações
Em geral, podemos dizer que no segundo semestre de 2019 existe uma grande probabilidade de ataques direcionados a grandes organizações capazes de pagar grandes resgates a cibercriminosos. No entanto, os hackers nem sempre desenvolvem eles próprios soluções de hackers e malware. Alguns deles, por exemplo, a notória equipe GandCrab, que já , tendo ganho cerca de 150 milhões de dólares americanos, continuam a trabalhar segundo o esquema RaaS (ransomware-as-a-service, ou “vírus ransomware como serviço”, por analogia com antivírus e sistemas de defesa cibernética). Ou seja, a distribuição de ransomware e cripto-lockers de sucesso este ano é realizada não apenas por seus criadores, mas também por “inquilinos”.
Nessas condições, as organizações precisam de atualizar constantemente os seus sistemas de cibersegurança e esquemas de recuperação de dados em caso de ataque, porque a única forma eficaz de combater os vírus ransomware é não pagar um resgate e privar os seus autores de uma fonte de lucro.
Fonte: habr.com