A ação do governo dos EUA está mudando o cenário de ransomware

Embora o governo tenha liberado requisitos de segurança cibernética muitas vezes no passado, é a primeira vez que os vimos emitidos tão rapidamente em resposta a um ataque conhecido

Os ataques de ransomware estão aumentando? Certamente parece que sim. Do Colonial Pipeline à JBS e ao Serviço de Saúde da Irlanda , os efeitos do ransomware estão sendo sentidos em toda parte. Ao mesmo tempo, porém, o governo dos EUA respondeu a esses ataques de novas maneiras que já estão causando impacto nos operadores de ransomware e podem sinalizar uma nova fase positiva na batalha contra o ransomware .

A Colonial Pipeline foi atingida por um ataque de ransomware que desligou seu sistema de pipeline por quase uma semana no início de maio deste ano. A empresa disse que embora o sistema de dutos em si não tenha sido afetado, suas redes internas foram, levando ao desligamento. A Colonial Pipeline é uma importante fornecedora de combustível para a costa leste dos Estados Unidos, fornecendo 45% do combustível para a região. Como resultado, a paralisação teve efeitos imediatos, que foram agravados pela escassez induzida pelo pânico. 

Então, no início de junho, um ataque de ransomware contra a JBS – a maior processadora de carne do mundo – fechou o processamento em nove fábricas de carne bovina e interrompeu as operações em fábricas de suínos e aves nos Estados Unidos. A JBS conseguiu retornar às operações em uma semana.

O momento em que esses ataques significativos, um após o outro, atraiu muita atenção e preocupação. Mas o que não recebeu tanta atenção – e é pelo menos tão importante – é a resposta do governo dos Estados Unidos e o impacto que parece estar tendo sobre os operadores de ransomware e a indústria de ransomware. Podemos estar entrando em uma nova fase na crise do ransomware que vê, finalmente, um progresso para impedir esse problema .

Novas respostas do governo dos EUA a ataques de ransomware

Enquanto o ataque ao Oleoduto Colonial ainda estava em andamento, o governo dos Estados Unidos agiu rapidamente para declarar estado de emergência para o setor afetado: o primeiro em termos de velocidade e escopo de resposta. 

Então, poucos dias após o ataque, o FBI atribuiu o ataque ao grupo de ransomware Darkside , comumente considerado russo, embora não fizesse parte do governo russo. Embora o FBI já tenha feito atribuições públicas sobre ataques cibernéticos antes – como a atribuição do ataque da Sony Pictures em 2014 à Coreia do Norte – esta é a primeira vez que isso foi feito rapidamente.

Antes do final de maio, o governo dos Estados Unidos lançou novos requisitos de segurança cibernética para operadores de dutos. Embora o governo dos EUA tenha lançado requisitos de segurança cibernética muitas vezes no passado, esta é a primeira vez que vimos requisitos emitidos tão rapidamente em resposta a um ataque conhecido.

À medida que o ataque da JBS se desenrolava, vimos outra série de respostas rápidas e sem precedentes do governo dos Estados Unidos. O FBI agiu rapidamente para atribuir publicamente os ataques a um grupo de ransomware específico dias após o ataque, desta vez nomeando REvil / Sodinokibi grupo de ransomware. Anne Neuberger, Conselheira Adjunta de Segurança Nacional para Tecnologia Cibernética e Emergente, publicou um memorando instando os líderes empresariais a levar a sério a ameaça do ransomware e fornecendo orientações específicas sobre as medidas que podem e devem tomar para ajudar a prevenir esses ataques.

Mais significativamente, soubemos que o Departamento de Justiça dos Estados Unidos divulgou um memorando aos escritórios do procurador-geral dos Estados Unidos em todo o país, dizendo-lhes para priorizar os ataques de ransomware no mesmo nível dos casos de terrorismo. Este é um movimento verdadeiramente sem precedentes que coloca o ransomware literalmente no topo da lista para as forças de segurança dos Estados Unidos.

Para enfatizar a seriedade com que o governo está levando esses ataques de ransomware, na segunda-feira, 7 de junho de 2021, o Conselheiro de Segurança Nacional dos EUA , Jake Sullivan, disse que o governo estava planejando abordar o ransomware “em cada parada” da primeira viagem internacional planejada do presidente Biden. Ele disse esperar que isso leve os EUA e seus aliados a desenvolverem um “plano de ação”, indicando claramente uma meta de forte coordenação para combater o problema.

No mesmo dia, o Departamento de Justiça dos Estados Unidos anunciou que havia recuperado US $ 2,7 milhões do resgate de US $ 4,4 milhões que a Colonial Pipeline havia pago. Outra ação sem precedentes em velocidade e alcance. 

Em conjunto, essas ações constituem uma mudança significativa na postura do governo dos Estados Unidos e da aplicação da lei federal em relação ao ransomware. E podemos ver que algumas dessas ações já estão tendo um impacto na “indústria” de ransomware.

Impacto das ações em grupos de ransomware

Para ver o impacto de pelo menos algumas dessas ações, podemos olhar para o grupo de ransomware Darkside por trás dos ataques Colonial Pipeline.

Em primeiro lugar, é notável que apenas alguns dias após o ataque Colonial Pipeline, o grupo de ransomware Darkside emitiu uma declaração sem precedentes que parecia destinada a colocar distância entre eles e o impacto do ataque. O grupo Darkside realmente opera com um modelo afiliado, o que significa que outros lançam os ataques reais usando a tecnologia e infraestrutura do Darkside por uma taxa. O tom da declaração e o fato de atribuírem a culpa pelo ataque a um “mau afiliado” parecem calculados para tentar difundir qualquer retaliação potencial. 

Isso é consistente com o Darkside, cujo ransomware verifica especificamente o idioma do sistema antes de instalar para não instalar em sistemas em russo, países no “exterior próximo” da Rússia e na Síria (onde as tropas russas estão estacionadas). Nossos pesquisadores verificaram isso em versões recentes de seus ransomware e acredita-se amplamente que essa é uma tática para garantir que eles não façam com que as autoridades nacionais e o governo os desliguem. Essa declaração inicial parece ser outra tática nesse manual para manter baixo o “calor” da aplicação da lei e da ação governamental contra eles.

No entanto, parece que a tática falhou. No final da semana, enquanto a Colonial Pipeline estava retomando as operações, soubemos que a Darkside havia perdido o controle de sua infraestrutura e sistemas de pagamento e estava fechando seu programa de afiliados devido à “pressão dos EUA”. Eles também indicaram que seus fundos foram retirados para uma conta desconhecida. Presumivelmente, pelo menos parte disso representa a recuperação parcial do resgate do Oleoduto Colonial.

Quase ao mesmo tempo, aprendemos que dois grandes fóruns clandestinos que hospedam anúncios de ransomware, XSS e Exploit , estavam proibindo esses anúncios. Essa medida foi um golpe para o lado comercial do negócio de ransomware, tornando mais difícil anunciar para possíveis afiliados e compradores de serviços de ransomware.

E cerca de duas semanas depois que o Darkside anunciou que estava fechando, soubemos que alguns dos afiliados do Darkside estavam indo a um “tribunal de hackers” para tentar recuperar os fundos que eram devidos pelo Darkside. 

Finalmente, poucos dias após o FBI nomear REvil como responsável pelos ataques da JBS, REvil divulgou seu próprio comunicado, parecendo tentar se distanciar do impacto do ataque, semelhante ao comunicado do Darkside.

Grupos de ransomware enfrentando uma nova realidade

Quando olhamos para o que os grupos Darkside e REvil fizeram, o que aconteceu com eles e como os outros estão respondendo, fica claro que há uma mudança radical em andamento.

Tanto Darkside quanto REvil tomaram medidas para tentar se distanciar do impacto dos ataques atribuídos a eles, que foi sem precedentes.

O Darkside viu suas operações interrompidas, seu dinheiro roubado e está lidando com afiliados que dizem que eles devem dinheiro. No momento, parece que eles estão fora do mercado.

Dois fóruns importantes para publicidade de ransomware baniram esses anúncios, o que terá um impacto em todos os operadores de ransomware, tornando mais difícil continuar os negócios normalmente.

E outros operadores de ransomware notaram e agiram. Por exemplo, o grupo Avaddon anunciou certas restrições sobre os tipos de ataques que eles realizarão ou permitirão que seus afiliados realizem, proibindo o direcionamento de entidades afiliadas ao governo, hospitais ou instituições educacionais. Curiosamente, REvil foi um dos operadores que disse que iria proibir certos ataques antes do ataque da JBS. Isso dá crédito à sua declaração, implicando que os resultados do ataque da JBS não foram o que eles esperavam.

Enquanto isso, a perda de seus fundos pelo Darkside e a recuperação e devolução de pelo menos parte do resgate Colonial Pipeline pago questiona a viabilidade econômica do ransomware como um negócio. Ou, pelo menos, aumenta a parte do risco do cálculo de risco versus recompensa.

Quando olhamos para tudo isso, é razoável concluir que a resposta vigorosa e robusta do governo dos EUA já está tendo impactos claros, diretos e positivos.

Isso não quer dizer que o problema do ransomware esteja desaparecendo. Esses são desenvolvimentos significativos, mas a escala e o escopo do problema são enormes. Dito isso, a ação do governo dos EUA e o impacto que parece ter mostram uma promessa real de mudar o ambiente atual do ransomware, especialmente se outros governos e agências ao redor do mundo seguirem o exemplo. E o governo está claramente procurando trazer aliados a bordo para respostas mais vigorosas e coordenadas a esse problema.

Darkside pode não estar fora do mercado para sempre: eles podem se reformar em algum momento. Mas a história nos mostra que o sucesso no combate ao crime organizado vem por meio de muitas vitórias, grandes e pequenas, em várias frentes, ao longo do tempo. E o governo dos EUA mostrou que está pronto para abrir mais frentes na luta.

Enquanto isso, ainda há um problema de ransomware aqui hoje. Empresas e indivíduos devem seguir os conselhos de Anne Neuberger e manter seus sistemas atualizados, executar software de segurança, não clicar em links e fazer bons backups. E, acima de tudo, se você passar por um ataque de ransomware, não pague o resgate: você está apenas ajudando a manter esses grupos realizando ataques futuros que o afetarão diretamente ou, como vimos nesses três ataques, indiretamente.

Fonte: https://blog.avast.com/