Ransomware como serviço se torna mais direcionado sob o controle dos criminosos

Ransomware como serviço se torna mais direcionado sob o controle dos criminosos

Por Felipe Demartini | Editado por Claudio Yuge | 09 de Maio de 2022 às 10h00
Stillness InMotion/Unsplash

Que o mercado cibercriminoso movimenta milhões de dólares todos os meses, você já sabe. O que pode não conhecer é a forma como esse segmento, se é que podemos o chamar assim, cria um verdadeiro sistema econômico dentro de si mesmo, com a venda de intrusões e comprometimentos que abram para os golpes de ransomware, deixando de lado a automação dos ataques disparados em massa para alternativas muito bem planejadas e focadas em organizações específicas.

É esse o mote do “ransomware operado por humanos”, termo criado pela Microsoft em um novo relatório de segurança para indicar o que considera ser um verdadeiro e lucrativo subsistema econômico. É uma dinâmica, também, que vem aumentando os desafios para as corporações na medida em que os criminosos buscam permanecer em redes e maximizar seu poder de ataque, sendo chamada pela empresa de Redmond como a ameaça mais significativa da atualidade para as organizações.

De acordo com o alerta da Microsoft, as configurações mal feitas em servidores, a falta de atualizações de segurança e credenciais desprotegidas são as principais vulnerabilidades que levam aos ataques de ransomware. O que termina como uma operação orquestrada diretamente pelos criminosos, porém, sempre se inicia com uma exploração em massa de aberturas desse tipo; após a disseminação, os bandidos começam a avaliar as redes comprometidas em busca de vetores de disseminação lateral, possibilidades de persistência e, principalmente, ativos valiosos para serem travados e extraídos, com a prática de dupla extorsão vindo após a realização dos golpes.

Como se ataques de ransomware já não fossem problemáticos o bastante, o surgimento de um sistema econômico muito lucrativo entre os criminosos só tornou os ataques ainda mais perigosos (Imagem: Divulgação/Kaspersky)

À primeira vista, é como sempre funcionou quando o assunto é o sequestro digital, mas o que a Microsoft enxerga de novo é uma desassociação entre o vetor inicial de entrada, a empresa atingida e a escolha pela praga usada no ataque. Com a economia de ransomware como serviço, também, mesmo agentes criminosos sem capacidades tecnológicas podem agir contra empresas selecionadas, após uma intrusão inicial e enquanto as pragas permanecem dormentes e não detectadas nos sistemas.

Sendo assim, o que parece, na superfície, ser parte de uma onda de ataques de um mesmo bando cibercriminoso, na realidade, funciona como uma série de golpes que podem nem mesmo estarem conectados, de acordo com o determinado pelos afiliados da quadrilha. Os envolvidos no esquema de ransomware como serviço, então, dividem os lucros oriundos de resgate, enquanto desenvolvedores de malwares também podem receber pela venda direta de suas pragas a outras quadrilhas ou clientes.

Esse ecossistema também gerou diferentes formatos de trabalho para as quadrilhas. Existem aquelas que, por exemplo, somente fornecem o acesso às redes, enquanto outras não realizam a intrusão, mas coordenam sistema de busca por plataformas que possam ser comprometidas, seja pelo vazamento de senhas ou por falhas em software. Há também as que ofertam o pacote completo, normalmente focadas em alvos maiores e com mais possibilidade de lucro, como serviços essenciais, instituições de saúde e empresas de tecnologia.

Ransomware operado por humanos reforça o perigo de sempre

Estrutura do ransomware como serviço envolve diferentes agentes, com golpes direcionados e focados em ativos e organizações de forma específica (Imagem: Divulgação/Microsoft)

Segundo a Microsoft, o que torna a operação direta do ransomware pelos criminosos é a capacidade técnica de quem está do outro lado da tela. Diante de informações como o nível de segurança, a quantidade de sistemas comprometidos e o tipo de informação que pode ser extraída, por exemplo, os agentes maliciosos podem aumentar ou baixar os preços de seus serviços, enquanto dão garantias maiores de devastação em relação a um golpe automatizado, por exemplo.

Esse tipo de trabalho também torna a resiliência mais difícil, já que mitigações recentes podem ser facilmente contornadas pelos bandidos. Podem existir, também, tentativas de manter persistência na rede mesmo após a descoberta de um vetor de entrada, com a retomada do comprometimento quando a barra estiver limpa, ou a permanência mesmo com o pagamento de resgate, já que a palavra dos criminosos é a única garantia que uma empresa terá caso não tome as atitudes de proteção devidas.

Os números apresentados pela Microsoft mostram o sucesso de tais empreitadas direcionadas. De acordo com a empresa, de cada 2,5 mil organizações miradas de forma massiva, sendo alvos em potencial, 60 são priorizadas e 20, efetivamente comprometidas. O golpe de ransomware acaba acontecendo contra apenas uma delas, sendo devastador o suficiente para fazer valer todo o trabalho.

Métricas da Microsoft mostram preferência dos criminosos por golpes direcionados contra empresas de pequeno e médio porte, com resgates menores mas maior possibilidade de pagamento e poucas exigências de planejamento (Imagem: Elements/tommyandone)

A telemetria também mostra uma preferência por alvos de médio e pequeno porte, com pagamentos de resgate na casa dos milhares de dólares cada. Tais corporações também exigem menos esforço, já que possuem times de segurança menores e infraestrutura reduzida, em vez de ataques contra organizações gigantescas que podem render pagamentos de milhões, mas também levam muito mais tempo de planejamento e realização, além de terem taxa de sucesso bem menor.

Entre os grupos mais persistentes do segmento de ransomware como serviço estão o Trickbot, considerado o grupo de sequestro digital mais perigoso da atualidade, e o Elbrus. Parcerias entre grupos também são citadas como os caminhos para os ataques envolvendo outras quadrilhas conhecidas, como Ryuk, REvil, BlackCat, Lockbit e Conti, enquanto a parceria com estados-nação rivais também auxilia a manter muito do ecossistema de pé.

Conhecer para proteger

Microsoft sugere evitar olhar apenas endpoints e domínios, já que tais elementos não são suficientes; ações prévias e visibilidade total ajudam a combater ataques e detectar vetores de entrada (Imagem: Divulgação/ESET)

Na visão da Microsoft, saber como funciona os mecanismos de ransomware como serviço ajuda na proteção contra ataques desse tipo. Para a companhia, focar apenas em domínios, servidores ou endpoints pode não ser o suficiente, já que golpes assim possuem escopos maiores e atividades furtivas, com o monitoramento podendo chegar tarde demais.

Por isso, o ideal é focar em ações prévias, que dificultem a entrada na rede e proporcionem maior higiene digital. Usar ferramentas para avaliar privilégios de usuários e restringir aplicações ao ambiente local, de forma a impedir movimentação lateral, ajudam a conter ataques contra a infraestrutura; o mesmo também vale para o uso de senhas aleatórias e modificadas periodicamente.

A companhia também recomenda a utilização de sistemas de monitoramento por eventos envolvendo credenciais, assim como soluções de segurança que permitam visibilidade sobre configurações mal-feitas ou ameaças relacionadas às identidades. Plataformas de reconhecimento, ainda, ajudam a identificar logins fora do padrão ou atividades suspeitas.

Fonte: Microsoft

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.