Alvos de oportunidade: como grupos de ransomware encontram vítimas
Embora alguns setores sejam mais valorizados do que outros, os lucros superam todas as considerações
Como o ransomware continua atacando vários setores, como uma determinada organização acaba se tornando um alvo ou vítima?
As organizações em algumas regiões têm maior probabilidade de serem vítimas. A empresa de segurança cibernética Group-IB relata que, de julho de 2021 a junho de 2022, 43% dos ataques de ransomware conhecidos atingiram organizações dos EUA. Os próximos da fila foram Alemanha, Reino Unido, Canadá, Itália e França.
Alguns setores também parecem ser mais vítimas do que outros. No último trimestre, a empresa de resposta a incidentes de ransomware Coveware relatou ter visto a maioria das vítimas vir do setor público, seguido por serviços de software, assistência médica , serviços profissionais e setor de materiais.
Comparando os últimos três meses de 2022 com o terceiro trimestre, a Coveware viu menos empresas de serviços profissionais – incluindo pequenos escritórios de advocacia e empresas de serviços financeiros – sendo atingidas, o que atribuiu a grupos de ransomware priorizando alvos maiores e mais lucrativos (consulte: Ransomware Profits Dip as Menos vítimas pagam extorsão ).
Algumas indústrias registraram um aumento nos ataques. No segundo semestre do ano passado, em particular, os ataques conhecidos contra o setor manufatureiro aumentaram 30%, relata a empresa de segurança cibernética Dragos . Este setor inclui tudo, desde empresas automotivas e fornecedores de equipamentos industriais até eletrônicos e aeroespaciais.
Faça esta pergunta da galinha e do ovo: os grupos de ransomware acumulam vítimas concentrando-se em setores preferenciais ou certos setores são apenas mais propensos a acabar sendo vítimas?
Lucro Imperativo
A principal preocupação dos grupos de ransomware parece ser simples: o lucro.
Em seu site de vazamento de dados, o grupo LockBit diz aos afiliados que está “interessado apenas em dinheiro” – conforme reforçado pelo gosto católico do grupo por vítimas, que abrange todos os setores, incluindo hospitais e infraestrutura crítica.
A mensagem para os afiliados, que normalmente ficam com 70% de cada resgate pago, é clara: Hackeie quem você quiser, desde que maximize a receita (consulte: Lucro a qualquer custo: por que gangues de ransomware como a mentira do LockBit ).
Portanto, as vítimas parecem ser reunidas primeiro de maneira semi-aleatória – com base no acesso que um grupo compra de um corretor de acesso inicial, organizações que a afiliada de um grupo de ransomware pode ter hackeado diretamente ou sistemas capturados por malware usado por um grupo. Nesse ponto, talvez, os grupos decidam em quem focar primeiro.
“Os cibercriminosos sempre analisam a receita de suas vítimas – os corretores de acesso inicial indicam os valores financeiros de suas vítimas em suas ofertas”, diz Vladimir Timofeev, chefe do grupo de pesquisa e monitoramento clandestino do Group-IB. “A lógica por trás disso é simples: se a vítima em potencial tiver pouco dinheiro, é pouco provável que ela pague um resgate. Os IABs também começaram a incluir uma breve descrição da empresa vítima, especificando sua localização e setor.”
O Grupo-IB diz que das 2.348 ofertas iniciais de acesso que viu anunciadas em fóruns clandestinos de julho de 2021 a junho de 2022, a maior quantidade – representando 6% de todas as ofertas do IAB – envolveu empresas do setor manufatureiro.
“O acesso à rede para empresas do setor de manufatura é um dos ativos mais procurados por grupos de ransomware”, diz Timofeev. Dada essa demanda, os IABs podem cobrar mais por esses “acessos”, o que significa que grupos maiores podem ser os mais propensos a arriscar o custo inicial mais alto pelo potencial de um grande retorno sobre seu investimento.
“A indústria e as empresas de manufatura sempre pagam mais, pois o tempo de inatividade afeta fortemente a produção e resulta em perdas financeiras multimilionárias”, diz ele. “Enquanto outras empresas podem temer a divulgação pública de seus dados, as empresas de manufatura sempre sofrerão diretamente com ataques de ransomware”.
Provavelmente não é coincidência que a manufatura tenha sido o setor mais visado pelos operadores de ransomware nos últimos 18 meses, de acordo com a pesquisa da Kela e do Group-IB .
Portanto, embora a mecânica precisa de como um grupo de ransomware acaba selecionando vítimas em potencial pareça variável, se um grupo pensa que há lucros decentes a serem extraídos de qualquer organização para a qual obtiveram acesso remoto, essa parece ser uma oportunidade que eles vou levar.