A evolução do ransomware e como seguir em frente

A evolução do ransomware e como seguir em frente

Parece que toda vez que você confere as notícias, há um novo ataque de ransomware. Mas para cada ataque que chama a atenção da mídia, vários outros ataques provavelmente passaram despercebidos.

Ransomware não é novo – o primeiro caso relatado em 1989 teve como alvo organizações de saúde. O ator por trás do ataque entregou o ransomware enviando mais de 20.000 disquetes para pesquisadores da AIDS. Mesmo no início, a engenharia social foi usada para fazer as vítimas acessarem malware; neste caso, os discos pretendiam conter um questionário que avaliaria o risco de uma pessoa adquirir AIDs. Desde então, vimos uma evolução na qualidade do código do ransomware, nos mecanismos de entrega usados ​​e nos métodos de extorsão.

Uma razão pela qual o ransomware é um problema tão grande é que qualquer vetor de ataque inicial pode ser usado para distribuir ransomware por toda a organização. Por exemplo, ele pode ser entregue nas fases posteriores de um kit de exploração em que o phishing é o vetor de infecção inicial; ou por agentes de ameaças usando credenciais vazadas, compradas ou forçadas para obter acesso a uma organização por meio de um serviço voltado para o público. Os atores de ameaças também aprimoraram seu jogo com suas táticas de spear-phishing para garantir que sua entrega seja o mais realista e atraente possível.

A qualidade do código do ransomware também melhorou muito ao longo do tempo e as táticas de extorsão também evoluíram, onde o ransomware agora vai vazar informações antes de criptografar. Atores de ransomware também criaram sites públicos de vergonha, onde listam suas vítimas em um esforço para forçar o pagamento e a remoção dessas listas. A partir daí,  vimos uma mudança para a extorsão dupla , em que os atores exigem o pagamento pelas chaves de descriptografia e, em seguida, também exigem um segundo pagamento para garantir que as informações exfiltradas não vazem para o público ou sejam vendidas.

Possivelmente, o maior avanço no ransomware foi como os grupos de atores evoluíram e criaram modelos de negócios de sucesso. Isso inclui a recente mudança para  Ransomware-as-a-Service (RaaS) . Nesses casos, os grupos de ransomware oferecem uma estrutura para uso dos membros afiliados. Esses afiliados já obtiveram acesso à rede da vítima e, em seguida, usam o software e a infraestrutura RaaS para conduzir a parte do ransomware real do ataque. Os operadores RaaS recolhem o resgate e depois distribuem uma porcentagem ao afiliado.

No mês passado, vimos que os grupos de ransomware estão se tornando mais ousados ​​em seus ataques. Após os ataques ao provedor de infraestrutura crítica  Colonial Pipeline  e ao  frigorífico JBS , ouvimos falar da REvil, a empresa criminosa RaaS, que tinha como alvo Sal Oriens, um subcontratado que trabalha com a Administração de Segurança Nuclear Nacional (NNSA). Todos os três ataques tiveram como alvo empresas críticas para a segurança e proteção dos Estados Unidos. Embora o impacto do ataque a Sal Oriens não seja totalmente conhecido, há um grande potencial de danos à segurança nuclear dos Estados Unidos, pois eles ameaçaram vazar as informações para qualquer estado-nação ou militar de sua escolha. Esse ataque elevou o ransomware ao equivalente a uma ameaça de estado-nação.

“Possivelmente, o maior avanço no ransomware foi como os grupos de atores evoluíram e criaram modelos de negócios de sucesso”

Os Estados Unidos estão agora reavaliando como enfrentarão a crescente ameaça à proteção e proteção de infraestruturas críticas e de segurança nacional. Como primeiro passo, a Casa Branca emitiu uma  ordem executiva com  relação ao aumento da postura de segurança de entidades .gov, incluindo um impulso para a nuvem e adoção de  confiança zero arquiteturas. Após o ataque Colonial Pipeline, Anne Neuberger, Conselheira Adjunta de Segurança Nacional para Tecnologia Cibernética e Emergente, emitiu um terrível alerta para empresas privadas sobre a ameaça de ataques de ransomware. Christopher Wray, o diretor do FBI, até falou sobre os paralelos da complexidade das investigações atuais de ransomware com os ataques de 11 de setembro. Lisa Monaco, Procuradora Geral Adjunta, também divulgou um memorando interno instruindo os promotores dos EUA a relatar todas as investigações de ransomware nas quais estão envolvidos e destacou a importância de rastrear a infraestrutura completa do ransomware. Isso também torna o novo rastreamento de ransomware  semelhante ao do terrorismo.

O ransomware continua a evoluir tanto em tecnologia quanto em modelos de negócios. Enquanto os fornecedores de segurança continuam a lutar contra a tecnologia, os governos em todo o mundo precisam se esforçar e encontrar maneiras de prejudicar o modelo de negócios. Como vimos, as acusações contra algumas das operadoras têm eficácia limitada.

As agências governamentais e policiais podem dar um passo ousado para ficar à frente dos agentes de ransomware: começar a tomar posse de toda a infraestrutura de hospedagem, não apenas dos servidores C2. Qualquer coisa associada à publicidade dos serviços, infraestrutura afiliada RaaS e qualquer outra infraestrutura usada na cadeia de ataque de ransomware ou pelos operadores de ransomware deve ser possuída. Assumir o controle dessa infraestrutura pode ajudar muito a reverter a relação “risco versus recompensa” e forçar muitos a abandonar o negócio de ransomware. Também pode permitir que as agências de aplicação da lei e do governo assumam os ativos financeiros dessas organizações e permitir o rastreamento adicional da transferência de fundos para encontrar outros atores do ransomware.

Os governos precisam trabalhar juntos para garantir que não haja um porto seguro para os operadores de ransomware e continuar a aplicar pressões àqueles que ainda oferecem um porto seguro. Essa pode ser a melhor solução para acabar com a epidemia de ransomware.

Fonte: https://www.infosecurity-magazine.com/opinions/evolution-ransomware-move-forward/#at_pco=smlrebh-1.0&at_si=60df48d668771bb7&at_ab=per-2&at_pos=1&at_tot=4