Ransomware como serviço se torna mais direcionado sob o controle dos criminosos

Que o mercado cibercriminoso movimenta milhões de dólares todos os meses, você já sabe. O que pode não conhecer é a forma como esse segmento, se é que podemos o chamar assim, cria um verdadeiro sistema econômico dentro de si mesmo, com a venda de intrusões e comprometimentos que abram para os golpes de ransomware, deixando de lado a automação dos ataques disparados em massa para alternativas muito bem planejadas e focadas em organizações específicas.

• Projeto de lei busca criminalizar o golpe com ransomware no Brasil
• Brasil é alvo preferencial de criminosos, mesmo “fora” da guerra cibernética

É esse o mote do “ransomware operado por humanos”, termo criado pela Microsoft em um novo relatório de segurança para indicar o que considera ser um verdadeiro e lucrativo subsistema econômico. É uma dinâmica, também, que vem aumentando os desafios para as corporações na medida em que os criminosos buscam permanecer em redes e maximizar seu poder de ataque, sendo chamada pela empresa de Redmond como a ameaça mais significativa da atualidade para as organizações.

De acordo com o alerta da Microsoft, as configurações mal feitas em servidores, a falta de atualizações de segurança e credenciais desprotegidas são as principais vulnerabilidades que levam aos ataques de ransomware. O que termina como uma operação orquestrada diretamente pelos criminosos, porém, sempre se inicia com uma exploração em massa de aberturas desse tipo; após a disseminação, os bandidos começam a avaliar as redes comprometidas em busca de vetores de disseminação lateral, possibilidades de persistência e, principalmente, ativos valiosos para serem travados e extraídos, com a prática de dupla extorsão vindo após a realização dos golpes.

À primeira vista, é como sempre funcionou quando o assunto é o sequestro digital, mas o que a Microsoft enxerga de novo é uma desassociação entre o vetor inicial de entrada, a empresa atingida e a escolha pela praga usada no ataque. Com a economia de ransomware como serviço, também, mesmo agentes criminosos sem capacidades tecnológicas podem agir contra empresas selecionadas, após uma intrusão inicial e enquanto as pragas permanecem dormentes e não detectadas nos sistemas.

Sendo assim, o que parece, na superfície, ser parte de uma onda de ataques de um mesmo bando cibercriminoso, na realidade, funciona como uma série de golpes que podem nem mesmo estarem conectados, de acordo com o determinado pelos afiliados da quadrilha. Os envolvidos no esquema de ransomware como serviço, então, dividem os lucros oriundos de resgate, enquanto desenvolvedores de malwares também podem receber pela venda direta de suas pragas a outras quadrilhas ou clientes.

Esse ecossistema também gerou diferentes formatos de trabalho para as quadrilhas. Existem aquelas que, por exemplo, somente fornecem o acesso às redes, enquanto outras não realizam a intrusão, mas coordenam sistema de busca por plataformas que possam ser comprometidas, seja pelo vazamento de senhas ou por falhas em software. Há também as que ofertam o pacote completo, normalmente focadas em alvos maiores e com mais possibilidade de lucro, como serviços essenciais, instituições de saúde e empresas de tecnologia.

Ransomware operado por humanos reforça o perigo de sempre

Segundo a Microsoft, o que torna a operação direta do ransomware pelos criminosos é a capacidade técnica de quem está do outro lado da tela. Diante de informações como o nível de segurança, a quantidade de sistemas comprometidos e o tipo de informação que pode ser extraída, por exemplo, os agentes maliciosos podem aumentar ou baixar os preços de seus serviços, enquanto dão garantias maiores de devastação em relação a um golpe automatizado, por exemplo.

Esse tipo de trabalho também torna a resiliência mais difícil, já que mitigações recentes podem ser facilmente contornadas pelos bandidos. Podem existir, também, tentativas de manter persistência na rede mesmo após a descoberta de um vetor de entrada, com a retomada do comprometimento quando a barra estiver limpa, ou a permanência mesmo com o pagamento de resgate, já que a palavra dos criminosos é a única garantia que uma empresa terá caso não tome as atitudes de proteção devidas.

Os números apresentados pela Microsoft mostram o sucesso de tais empreitadas direcionadas. De acordo com a empresa, de cada 2,5 mil organizações miradas de forma massiva, sendo alvos em potencial, 60 são priorizadas e 20, efetivamente comprometidas. O golpe de ransomware acaba acontecendo contra apenas uma delas, sendo devastador o suficiente para fazer valer todo o trabalho.

A telemetria também mostra uma preferência por alvos de médio e pequeno porte, com pagamentos de resgate na casa dos milhares de dólares cada. Tais corporações também exigem menos esforço, já que possuem times de segurança menores e infraestrutura reduzida, em vez de ataques contra organizações gigantescas que podem render pagamentos de milhões, mas também levam muito mais tempo de planejamento e realização, além de terem taxa de sucesso bem menor.

Entre os grupos mais persistentes do segmento de ransomware como serviço estão o Trickbot, considerado o grupo de sequestro digital mais perigoso da atualidade, e o Elbrus. Parcerias entre grupos também são citadas como os caminhos para os ataques envolvendo outras quadrilhas conhecidas, como Ryuk, REvil, BlackCat, Lockbit e Conti, enquanto a parceria com estados-nação rivais também auxilia a manter muito do ecossistema de pé.

Conhecer para proteger

Na visão da Microsoft, saber como funciona os mecanismos de ransomware como serviço ajuda na proteção contra ataques desse tipo. Para a companhia, focar apenas em domínios, servidores ou endpoints pode não ser o suficiente, já que golpes assim possuem escopos maiores e atividades furtivas, com o monitoramento podendo chegar tarde demais.

Por isso, o ideal é focar em ações prévias, que dificultem a entrada na rede e proporcionem maior higiene digital. Usar ferramentas para avaliar privilégios de usuários e restringir aplicações ao ambiente local, de forma a impedir movimentação lateral, ajudam a conter ataques contra a infraestrutura; o mesmo também vale para o uso de senhas aleatórias e modificadas periodicamente.

A companhia também recomenda a utilização de sistemas de monitoramento por eventos envolvendo credenciais, assim como soluções de segurança que permitam visibilidade sobre configurações mal-feitas ou ameaças relacionadas às identidades. Plataformas de reconhecimento, ainda, ajudam a identificar logins fora do padrão ou atividades suspeitas.

Fonte: Microsoft