Quanto cada categoria de cibercriminoso ganha nos ataques de ransomware?

Os ataques de ransomware têm causado bastante estrago nos dois últimos anos, com campanhas que afetam grandes grupos comerciais e governamentais, muitas vezes em crimes que resultam em vazamentos massivos de dados de milhões de cidadãos. E uma constatação da empresa de segurança Kaspersky aumenta o alerta sobre esse tipo de ameaça: segundo um levantamento dos especialistas em defesa digital, a América Latina sofreu uma média de 4 mil ofensivas desse tipo nos oito primeiros meses de 2022.

• Cibersegurança: adivinhe qual foi a senha mais utilizada no Brasil em 2022
• O que é clickjacking? Saiba se proteger da ameaça que cresce no Brasil

De acordo com a varredura da Kaspersky, essa quantidade representa uma diminuição de 28% em relação ao mesmo período de 2021, com o Brasil entre os países com tendência de queda. Contudo, esse decréscimo não representa exatamente uma boa notícia: para os especialistas da empresa, os cibercriminosos estão focando cada vez mais em ataques direcionados e lucrativos e no desenvolvimento local de ransomware especializados em ciberataques contra instituições latino-americanas do setor público e privado.

Segundo a análise da Kaspersky, Colômbia, Costa Rica e Equador registram aumento dos ataques em 2022, enquanto Brasil, Chile, República Dominicana, México e Panamá apresentam queda neste ano; enquanto Argentina, Guatemala e Peru mostram ofensivas em “ondas”.

O estudo destaca também que os cibercriminosos latinos estão criando seus próprios ransomware e o ChileLocker é a principal ameaça, detectada no Chile em agosto recente. Essa família de ransomware tem a capacidade de roubar credenciais salvas em navegadores, mapear servidores e dispositivos na rede para criptografá-los e evitar a detecção do antivírus por meio de uma função que permite o agendamento da execução da praga. Até o momento, foi detectado apenas no Chile e na Colômbia.

"Na região, o esquema de Ransomware as a Service prosperou e opera como uma indústria formal, com ‘funcionários’ de diferentes níveis que estudam suas vítimas em potencial e planejam ataques 24 horas por dia, sete dias por semana. O avanço e a profissionalização desse crime têm uma explicação: esse crime online movimenta mais dinheiro do que outras atividades ilícitas, como a venda de armas ou o tráfico", avalia Marc Rivero, analista sênior de segurança da Kaspersky.

Ransomware como serviço em modelo de negócios profissional

O estudo da Kaspersky destaca uma tendência que vem crescendo nos últimos anos, que é a profissionalização dos cibercriminosos. Segundo os pesquisadores, o “modelo de negócios” do ransomware atualmente se organiza em quatro perfis.

Existem os operadores de ransomware, grupos locais responsáveis por executar o ataque à vítima. Os intermediários (Initial Access Brokers), que também são criminosos com conhecimentos genéricos, mas que têm habilidades de comprometer a segurança das organizações e vendem esses acessos ilegais aos operadores.

Em seguida, vêm os afiliados, indivíduos com alto grau de conhecimento técnico em invadir redes corporativas e que podem executar um ataque de ransomware por completo, sem a dependência dos outros bandidos. Para completar, há os criadores, que possuem altíssimo conhecimento técnico, mas preferem compartilhar o que sabem como um serviço), em troca de uma fatia nos lucros das campanhas bem-sucedidas.

De acordo com a análise da Kaspersky, o modelo de negócios segue o seguinte percentual: os “donos” do malware ficam com 20% ou 30% dos ganhos, enquanto a maior fatia fica com quem corre mais risco: os intermediários, que ficam com algo em torno de 50%, pois são os mais expostos na execução da invasão.

As famílias de ransomware mais comuns na América Latina

Os pesquisadores da Kaspersky afirma que, na América Latina, as cinco famílias mais comuns de ransomware têm a capacidade de criptografar os dados das vítimas. São eles:

• Trojan.Ransom.Win32.Wanna
• Trojan.Ransom.Win32.Stop
• Trojan.Ransom.Win32.Blocker
• Trojan.Ransom.MSIL. Blocker
• VHO.Trojan.Ransom.Win32.Convagent

E o estudo também destaca uma tendência que pode ganhar tração em 2023: o chamado ransomware destrutivo, que tem o único propósito de danificar recursos das instituições, como aconteceu com o HermeticRansom, detectado no início de 2022. "Isso obriga todos os tipos de instituições a redobrarem as medidas de cibersegurança", recomenda o analista da Kaspersky.