Grandes ataques de ransomware está ofuscando tendências alarmantes
Grandes ataques de ransomware contra grandes empresas dominaram as notícias, mas os especialistas em segurança dizem que há outras tendências alarmantes.
Embora ataques de ransomware de alto perfil e vazamentos de dados tenham dominado as notícias neste verão, os especialistas dizem que há tendências mais alarmantes no cenário do ransomware.
Nos últimos meses, várias marcas grandes e reconhecíveis foram atingidas por ataques de ransomware confirmados ou suspeitos. Alguns dos nomes incluem Xerox, Canon, Konica Minolta, Garmin, Carnival Cruises e Brown-Forman Corporation (fabricante do Jack Daniel’s), entre outros. Mas os pesquisadores de ameaças afirmam que esses ataques que estão nas manchetes obscureceram outras tendências mais preocupantes.
O SearchSecurity conversou com vários especialistas em segurança cibernética para ter uma ideia do que está acontecendo no ransomware agora, se a ameaça está piorando, o que esperar daqui para frente e como as empresas podem se proteger à medida que mais e mais funcionários estão trabalhando em casa.
O ransomware está aumentando, mas não é só isso
A prática de “envergonhar” as vítimas de ransomware, iniciada no ano passado pela gangue de ransomware Maze, dominou as manchetes nos últimos meses. Mas Jared Phipps, vice-presidente de engenharia de vendas mundial do SentinelOne, disse ao SearchSecurity que isso não é necessariamente um sinal de que o volume de ataques está aumentando – embora certamente seja o caso .
“Não é que mais coisas estejam acontecendo – é só que, por alguma razão, essas pessoas chegaram ao noticiário. O volume é bastante consistente – é muito, muito alto. É sempre muito, muito alto”, disse ele. “Mas o ransomware como um todo tem aumentado nos últimos dois anos de maneira muito consistente e em um volume muito alto.”
Mas os ataques a grandes empresas, que foram divulgados por Maze e outras gangues em seus sites de “notícias”, ofuscaram muitos outros ataques que não foram divulgados. “Para cada ataque de ransomware que você está lendo no noticiário, há várias centenas sobre os quais você não está lendo. Alguns deles são muito grandes. Alguns deles são divisões de negócios de unidades maiores. Mas se você estiver olhando para o seguro cibernético indústria, eles estão olhando mais de 100 reclamações por dia que são orientadas para ransomware. “
Jeremy Kennelly, gerente de análise da Mandiant, disse que a nova publicidade se resume ao estilo de ataque de ransomware que está sendo conduzido.
“Acho que o que está acontecendo é que a conscientização pública dessas campanhas de ransomware é muito maior porque o esquema usado para monetizar esses incidentes agora envolve necessariamente um componente em que os criminosos envergonharão as vítimas que não pagam e publicam seus dados publicamente , e acho que envergonhar e publicar o processo está apenas aumentando significativamente o número de incidentes de que temos conhecimento “, disse Kennelly ao SearchSecurity.
Chester Wisniewski, principal cientista de pesquisa da Sophos, disse que embora muitas gangues de ransomware tenham adotado o roubo de dados e a fraude, esses tipos de ataques operados por humanos levam mais tempo, esforço e pessoas para serem executados com sucesso.
“No momento, existem cinco ou seis desses grupos de ransomware invadindo organizações para resgates de alto valor, e isso significa que eles só podem fazer tantos [ataques] porque tudo está sendo feito manualmente”, disse Wisniewski em um recente artigo da Risk & Repita o podcast . “A coisa boa sobre humanos estarem envolvidos no lado criminoso é que isso não tem escala.”
Embora os tipos mais formidáveis - e embaraçosos – de ataques de ransomware possam ser limitados em número, existem outras tendências alarmantes, de acordo com especialistas.
Tendências de ransomware
Apesar das melhorias na detecção de ransomware nos últimos anos, o ransomware continua a ser uma empresa lucrativa para os cibercriminosos. Phipps disse que o ransomware continuará a ser a escolha de monetização dos agentes de ameaças daqui para frente. As razões para isso incluem a ideia de que “você faz uma necessidade muito forte quando você tira a capacidade de operação de uma organização”, a capacidade de ser pago em criptomoeda e a presença de apólices de seguro cibernético incentivando uma organização a pagar o resgate para se recuperar mais rapidamente.
O cientista-chefe da McAfee e colega Raj Samani disse que uma tendência que ele está percebendo é que as organizações estão pagando o resgate em grandes quantidades . “Ao pagar, eles estão financiando o desenvolvimento de variantes de ransomware para serem ainda mais impactantes, o que simplesmente significa que isso estará aqui e continuará a piorar até que os milhões que estão sendo pagos parem”.
Kennelly também disse que vê mais grupos cibercriminosos adicionando um componente de extorsão a seus ataques de ransomware, uma proliferação contínua de serviços e plataformas usadas para permitir ransomware e extorsão (como plataformas para os atores publicarem dados e divulgarem violações) e mais atores começando a se especializar em diferentes setores ou verticais.
“O que podemos ver também é que como os atores estão mais envolvidos ou mais investidos neste componente de extorsão dessas campanhas, podemos ver atores que começam a se especializar e aprender sobre diferentes setores e organizações em diferentes países que começam a se especializar”, disse Kennelly. “O que vemos às vezes quando um ator rouba dados e extorquia uma vítima usando os roubados, ameaçando publicá-los, muitas vezes, os dados não são necessariamente os dados que lhes dão a vantagem de obter um pagamento da vítima. Esperamos ver os atores receberem melhor nisso, para ser mais capaz de identificar informações que têm valor legitimamente para as organizações. E isso pode levar a atores com organizações de segmentação especializadas de setores específicos “
Além de extorsão e táticas de vergonha de dados, Wisniewski disse que há uma ” corrida armamentista ” por novas técnicas de evasão. Por exemplo, o grupo de ransomware Snatch no ano passado começou a reiniciar sistemas Windows infectados no Modo de Segurança para inibir o software de segurança de endpoint. “Tem havido muita inteligência, mas para ser justo, os criminosos mais espertos têm sido administradores de phishing para obter suas credenciais para que possam fazer login e desligar a segurança.”
Kennelly também viu evidências de cibercriminosos e gangues de ransomware se envolvendo em parcerias para conduzir campanhas maiores e mais eficazes.
“Isso provavelmente se deve ao fato de que certas famílias de malware amplamente proliferadas, as organizações potencialmente levam isso menos a sério do que deveriam, então podemos esperar que os operadores de distribuição de ransomware trabalhem com atores que podem historicamente distribuir malware que tem como alvo as credenciais bancárias de indivíduos para obter pontos de apoio iniciais em redes para distribuir ransomware “, disse Kennelly.
O custo do ransomware
À medida que os ataques de ransomware se tornam mais elaborados e intrusivos, o custo da recuperação aumenta. Phipps disse que, quando se trata do custo e dos danos dos ataques de ransomware, muitas organizações simplesmente não percebem o custo do tempo de inatividade dos negócios e presumem que suas apólices de seguro cibernético pagarão por tudo.
“Os ataques são complexos e as pessoas subestimam muito o que será necessário para se recuperar deles”, disse Phipps. “Eles estão confiantes demais em backups e confiantes de que a apólice de seguro cibernético será de alguns dias, não é grande coisa, e eles estarão funcionando novamente. E não é. São semanas ou meses de dor.”
Uma parte disso é o componente de backup da recuperação de ransomware. Muitos criticam as organizações por não terem backups, disse Phipps, mas nem sempre é o caso.
“Os invasores entram nessas organizações, eles se movem por toda a empresa, e o evento de resgate é a última coisa que eles estão fazendo. Eles estão interrompendo, desabilitando ou destruindo sistemas de backup”, explicou Phipps. “Eles estão derrubando os ambientes do Active Directory – eles literalmente paralisam uma organização. E o que acontece é que uma organização aparece e não são apenas algumas máquinas, sua capacidade de operar uma infraestrutura completa se foi. E isso é muito calculado e uma tentativa muito deliberada desses atores de ameaça. “
Kennelly observou que os custos de limpeza variam muito dependendo do pagamento do operador do ransomware e que os pagamentos do ransomware estão aumentando muito.
“Os atores ficaram melhores em identificar o tamanho de uma empresa que eles comprometeram e a probabilidade de pagar um grande resgate, e esperamos que os atores melhorem na identificação de números que as vítimas provavelmente pagarão em vez de classificar de tentar maximizar o possível pagamento “, disse Kennelly. “Vimos casos em que os atores atrelam um pedido de resgate aos lucros ou receitas de uma organização e, em muitos casos, isso levou a pedidos de resgate muito altos que raramente são pagos. Portanto, esperamos que os atores melhorem na identificação de números que são é mais provável que sejam pagos regularmente. “
Proteção na era do trabalho em casa
Como as organizações continuaram a ter seus funcionários trabalhando remotamente durante a pandemia COVID-19, muitos deles viram um aumento nos ataques cibernéticos. De acordo com um estudo do Enterprise Strategy Group, 43% dos entrevistados viram algum aumento nas tentativas de ataques cibernéticos contra suas organizações durante a pandemia, e 20% viram um aumento “significativo”.
“Muitas das melhores práticas para se proteger contra ransomware não mudaram de verdade. No entanto, agora que muitas organizações começaram a ter uma proporção maior de sua força de trabalho trabalhando em casa temporária ou permanentemente, isso muda onde os defensores precisam concentrar seus esforços “, disse Kennelly.
Kennelly explicou que as organizações terão muito mais usuários usando seu ambiente VPN a qualquer hora do dia, e que os agentes de ameaças estão implantando ransomware usando os mesmos serviços VPN legítimos comuns que as empresas usam.
“À medida que o tráfego legítimo aumenta, fica mais fácil para um ator de ameaça se esconder no tráfego legítimo. Portanto, há certas composições de tráfego que você pode começar a procurar provenientes de clientes VPN que podem permitir a identificação desse tipo de atividade mais cedo”, disse Kennelly.
As maneiras de procurar certas composições de tráfego incluem “limitar o tráfego SMB do tráfego VPN apenas para os servidores necessários, garantindo que todos os serviços que permitem o acesso remoto tenham a autenticação multifator ativada e estruturando sua rede para que o gerenciamento de servidores críticos seja feito por meio de hosts bastiões e configurar o controle de acesso em seu ambiente. “
Phipps deu três conselhos: habilite a 2FA para qualquer coisa voltada para a força de trabalho remota, aproveite as tecnologias VPN adequadas e use recursos modernos de proteção de endpoint. Ele observou que, “Os produtos AV legados que foram lançados por anos e anos simplesmente não são suficientes.”
Samani disse que a melhor coisa a fazer é ser proativo e começar com a higiene cibernética básica.
“Isso significa proteger todos os sistemas voltados para a Internet (por exemplo, RDP ), certificando-se de que os patches de segurança sejam atualizados rotineiramente e, claro, testando o regime de backup. Além disso, as empresas devem realizar exercícios regulares para testar suas práticas de IR e até mesmo obter informações de sua segurança fornecedores (por exemplo, eles respondem o suficiente caso algo aconteça). “
O diretor de notícias de segurança Rob Wright da searchsecurity.com contribuiu para este relatório.