O FUTURO DO RANSOMWARE

Os ataques de ransomware, lançados ao longo de 2020, aumentaram o sofrimento de uma população já cautelosa. À medida que a pandemia devastava vidas e meios de subsistência, o mesmo acontecia com uma série de tipos de ransomware, cujas ações criminosas não poupavam os setores de saúde e educação, mesmo quando os hospitais se tornaram campos de batalha do COVID-19 e as escolas lutaram para inventar uma maneira inteiramente nova de poder continuar ensinando as crianças.

Os ransomwares foram pioneiros em novas maneiras de driblar produtos de segurança como antivírus, se espalharam e se modificaram rapidamente. Fizeram surgir uma solução para seus ataques nos quais indivíduos ou empresas que têm bons backups, providenciaram as mais diversas maneiras de armazená-los de forma segura onde o ransomware não poderia prejudicá-los. Porém essa grande variedade de ransomware pode não ser tão ampla quanto parece. Como o tempo passou, e investigamos um número crescente de ataques, analistas da Sophos descobriram que em alguns ransomwares o código parecia ter sido compartilhado entre as famílias e alguns dos grupos de ransomware pareciam colaborar entre si mais do que competir um com o outro. Diante de tudo isso, é difícil prever o que os desenvolvedores de ransomwares farão a seguir. Eles gastaram muito tempo criando defesas contra os produtos de segurança. O time da Sophos combate suas tentativas. Eles mostram criatividade e versatilidade na criação de novas táticas; mostramos tenacidade em estudar o que eles fazem e encontrar maneiras inteligentes de impedi-los.

Enquanto isso, o roubo de dados cria um mercado secundário de extorsão. Até este ano, a expertise das empresas de segurança que tinham alguma experiência com ransomwares foi executada de maneira unanime: Bloqueie métodos óbvios de ingresso, como portas RDP abertas para a Internet, mantenha bons backups offline e lide com infecções de malwares pequenos e inócuos, como Dridex ou Emotet, rapidamente, antes que eles possam entregar as suas cargas de morte. Como um contra-ataque à precaução de suas vítimas, várias famílias de ransomware optaram por um novo movimento, projetado para aumentar a pressão sobre suas vítimas para pagar o resgate – mesmo que os dados essenciais estivessem seguros. Eles não apenas mantem as máquinas como reféns, mas também coletam os dados dessas máquinas e ameaçam liberá-los para o mundo se os alvos não pagarem um determinado valor.

Ultimamente os valores dos resgates são proporcionais ao aumento dos ataques e prova disto é que apenas dois anos atrás, os analistas da Sophos ficaram maravilhados com a aquisição de $ 6 milhões pelos operadores do ransomware conhecido como SamSam. Em um ataque ao qual a Sophos reagiu em 2020, os cibercriminosos começaram suas negociações por uma quantia em dólares de mais do que o dobro da quantia que a quadrilha por trás do SamSam conquistou em 32 meses de operação.

A Sophos tem uma equipe dedicada que investiga e frequentemente trabalha com os alvos de ataques de ransomware. A equipe pode reconstruir de modo forense os eventos de um ataque após o fato e, às vezes, interromper os ataques enquanto eles ainda estão em andamento. A equipe do Sophos Rapid Response se envolve em casos em que há uma chance de parar ou limitar o dano. Porém, eventualmente, o ataque acontece tão rápido que não há nada que ele possa fazer e o alvo deve então decidir se deve ou não pagar o resgate, neste momento a Sophos não está mais envolvida.

AMEAÇAS DIÁRIAS À EMPRESA

Atualmente os ataques estão cada vez mais criativos e são direcionados tanto para servidores Windows, quanto Linux. Embora a grande maioria dos incidentes de segurança aos quais respondemos em 2020 envolvessem desktops ou laptops executando variações do Windows, vimos um aumento constante nos ataques a servidores Windows e não Windows. Geralmente, os servidores há muito tempo são alvos atraentes à serem atacados por uma série de razões: Eles costumam ser executados por longos períodos sem supervisão ou monitoramento; servidores muitas vezes carregam mais capacidade de CPU e memória do que laptops individuais; e os servidores podem ocupar um espaço privilegiado na rede, muitas vezes tendo acesso ao dados mais confidenciais e valiosos na operação de uma organização. Isso os torna uma mina de ouro para uma quadrilha persistente. A maioria dos ataques que visam servidores se encaixa em um dos três perfis: ransomware, criptomineradores e exfiltração de dados – cada um deles possui um conjunto distinto e correspondente de táticas e técnicas que os atacantes empregam. Os servidores voltados para a Internet que executam o Windows recebem uma enxurrada interminável de tentativas de força bruta de RDP, esta tática de ataque que, pelo menos nos últimos três anos, tem sido mais frequentemente associada a ataques de ransomware. A equipe do Sophos Rapid Response frequentemente descobre que a causa raiz dos ataques de ransomware que investiga envolvem um acesso inicial à rede do alvo por meio de RDP e, em seguida, o uso dessas máquinas para ganhar uma posição dentro da rede e assumir o controle dos servidores DC, a partir dos quais eles podem montar o resto do ataque.

 

Por outro lado, os ataques de cryptojacking visam uma gama mais ampla de vulnerabilidades no Windows e em aplicativos que normalmente são executados em hardware de servidor, como um software de banco de dados.

A AÇÃO DO COVID COMO UM PROPULSOR NO FORTALECIMENTO DE ATAQUES

Em março de 2020 tivemos uma grande reviravolta, quando trabalhadores que podiam trabalhar remotamente e alunos de todas as séries, foram enviados para casa em uma corrida louca para interromper a propagação do COVID-19 e aliviar a pressão sobre hospitais superlotados. De repente, não estávamos mais trabalhando em casa, mas morando no trabalho. Muitas pessoas lutaram para encontrar o novo normal sem ir para o escritório. Demanda de acessos por VPN e os serviços de autenticação multifator aumentaram. Chromebooks se tornaram mercadorias raras. O Zoom recebeu melhorias correspondentes a dez anos de desenvolvimento em dois meses. E devido a tudo isso, Microsoft, Adobe, Apple e Google estavam lançando atualizações e lançamentos de patches de manutenção para uma infinidade de plataformas.

 

Desta maneira o COVID-19 transformou todos nós em nossos próprios departamentos de TI, gerenciando patches, atualizações de segurança e conectividade, problemas que nos impediram de entrar em reuniões ou que as crianças pudessem frequentar uma sala de aula virtual. A demanda disparou por headsets, microfones, melhor iluminação e segurança tanto na rede quanto nos computadores. E significava dar até mesmo às crianças um curso intensivo de phishing, spam, trolls online, cyberbullying e malware disfarçado como uma cópia gratuita do seu jogo favorito, pronto para jogar.

 

Não tem sido fácil e ainda não estamos operando como estávamos em fevereiro de 2020, mas muitas pessoas estão encontrando no novo normal, uma certa forma de melhoria. Mais escritórios decidiram continuar permitindo o trabalho remoto mesmo após o término dos bloqueios para agregar qualidade de vida as pessoas, além de benefícios significativos para o meio ambiente. Conforme os perímetros do local de trabalho se estendem e se expandem para abranger grandes porções da força de trabalho em locais remotos, as circunstâncias aumentaram a seriedade com que vemos o papel das redes domésticas como a última linha de defesa. O modem no armário do corredor agora é o perímetro da rede. Precisamos de um completo remanejo de como fornecer defesa em profundidade a essa estrutura.

 

Os bloqueios em todo o mundo foram acompanhados por uma enxurrada de golpes estimulados por e-mail de spam. As campanhas de spam mais eficazes introduzem um senso de urgência demandando que o destinatário toma alguma ação ao receber a mensagem. Este é um truque psicológico bem conhecido, porque se você tirar alguns minutos para pensar no conteúdo da mensagem de spam, você provavelmente perceberá que é uma farsa. Se o spammer acionar uma reação de medo, você age antes de pensar e é apanhado na armadilha. O COVID-19 já mantinha todo mundo em alerta constante, então os spammers nem mesmo precisaram se esforçar muito. Algumas semanas após o bloqueio, decidimos examinar mais de perto outro fenômeno crescente: Registros de domínios. Em poucas semanas, as pessoas estavam registrando milhares de novos nomes de domínio por dia que continha qualquer combinação das cadeias COVID-19Corona ou vírus. Alguns dos domínios eram piadas óbvias, enquanto outros eram confusamente semelhantes aos usados ​​por endereços legítimos, autoridades de saúde regionais ou nacionais. Também buscamos domínios e subdomínios relacionados ao COVID-19 em registros de transparência de certificado TLS. Os registros de transparência de certificado são úteis para rastrear subdomínios que têm seus próprios certificados TLS – informações que não aparecem em dados brutos de registro de domínio – e nomes de domínio. Vimos uma média de mais de 200 solicitações de certificado para domínios COVID-19 por dia em março, e a taxa continuou a subir nos meses subsequentes. Em junho, a média chegava a 625 por dia. Em outubro, essa taxa atingiu um pico de 951 novos certificados TLS que estavam sendo solicitados, por dia. A maioria desses domínios continuavam sendo legítimos ou benignos, embora muitos permaneceram estacionados e não tenham conteúdo – um sinal de que o registrante pode estar “vencendo o domínio” e reservando esses domínios para o futuro check-ups de reputação.

O USO CRESCENTE DE PLATAFORMAS NÃO TRADICIONAIS EM CRIMES CIBERNÉTICOS

Vivemos em um mundo cercado por dispositivos de computação que não se parecem com um computador ou servidor, como é o caso de roteadores, telefones celulares, firewalls, TVs inteligentes, centrais VoIP, câmeras, algumas marcas de utensílios de cozinha e lavanderia, e assim por diante. Mas só porque eles não se parecem com computadores tradicionais, isso não significa que não possam ser mal utilizados ou abusados do mesmo jeito.

E sua empresa esta segura contra ataques de ransomware? Entre em contato com nossa equipe de especialistas em cyber segurança e saiba como se proteger.

Comentários

Menu

Ei, antes de você ir, cadastre-se na nossa News, cheia de conteúdos exclusivos sobre Segurança Digital 360º.

Clique aqui para ler nossa Política de Privacidade

Esse site usa cookies

Usamos cookies para garantir que você tenha a melhor experiência possível. Ao continuar navegando entendemos que você aceita nossos termos e condições Política de Privacidade .