Vítimas de ransomware caem 40% e empresas têm mais espaço para negociar

Os casos de ataques de ransomware bem-sucedidos caíram 40% no primeiro trimestre de 2022, um número que não indica que a prática está caindo em desuso, mas sim, está relacionado a práticas mais direcionadas das quadrilhas e também ao fim das atividades do Conti, um dos mais prolíficos bandos dos últimos anos. Enquanto o total de comprometimentos caiu de forma significativa, entretanto, aumentou o número de acessos à venda, indicando uma nova abordagem por parte dos criminosos.

• Ransomware se torna mais sofisticado e já atingiu metade das empresas do Brasil
• Quanto tempo demora para um ransomware encriptar um sistema inteiro?

Os números aparecem em um relatório da KELA, empresa israelense de cibersegurança, que ainda coloca o sequestro digital no topo das ameaças digitais. Há, também, uma mudança na abordagem, com os bandidos dando mais tempo para que as empresas entrem em contato e negociem um resgate, antes mesmo de divulgarem em sites da dark web os nomes das vítimas, algo que, invariavelmente, acaba caindo também na imprensa e nas análises de pesquisadores do mercado.

O objetivo, novamente, seria garantir um maior número de pagamentos, principalmente diante de normas internacionais e sistemas de compliance internos que impedem ou regulam resgates ou negociações com bandidos. Ao darem uma maior janela de sigilo, também aumenta a pressão, já que a promessa sempre é de danos à reputação em caso da divulgação e uma presença ampliada, já que além da aparição do nome, caso o valor não seja pago, invariavelmente virá a divulgação dos dados.

Nestes casos, contadores de tempo e indicativos de arquivos a serem vazados até aparecem em sites internos, mas sem os nomes das companhias. Elas são identificadas por país, tamanho e ramo de atuação, bem como com os tradicionais volumes e amostras de dados que, novamente, são trabalhados de forma a não permitirem identificação. Bandos que vêm ganhando destaque como Midas e Lorenz estão entre os adeptos da prática.

LockBit assume a ponta, com setor financeiro ainda na mira

O fim das atividades do Conti, um dos principais bandos de ransomware em atividade nos últimos anos, aconteceu apenas em maio, mas os problemas internos já se refletem nas atividades no primeiro trimestre de 2022. A quadrilha, que normalmente era a líder em ataques, ficou em segundo lugar, com 18% dos incidentes registrados entre janeiro e março; o LockBit aparece em primeiro, com 32%, com Alphv completando o ranking dos três maiores com 8%.

A KELA, entretanto, chama a atenção para o segundo maior total de todos, uma soma de 31% composta por diferentes amostras de ransomware. O número mostra a ascensão de pequenos grupos e ataques direcionados, que podem ser tão efetivos e devastadores quanto aqueles disseminados em massa, mas cuja pluralização torna a detecção e defesa mais difíceis.

No total, foram 698 golpes bem-sucedidos registrados entre janeiro e março, abaixo de 982 no final de 2021. O setor financeiro foi o mais atingido mais uma vez, com um aumento de 40% no número de vítimas, enquanto serviços profissionais, saúde, indústria e tecnologia completam os cinco maiores. Entre os países, os Estados Unidos também permaneceram no topo, enquanto a França deixou de ser a quinta mais atacada, com um ranking composto pelo Reino Unido, Itália, Alemanha e Canadá.

Portas abertas para novos golpes

Em seu relatório, a KELA também chamou a atenção para o crescimento no número de acessos à venda, resultado da pulverização dos serviços ligados à economia de ransomware. Muitas quadrilhas, em vez de realizarem toda a cadeia de um golpe, do comprometimento ao travamento dos dados, preferem vender as portas de entrada para terceiros, gerando um aumento de 15% nesse aspecto.

Em média, tais aberturas ficam à venda por menos de dois dias, com 116 grupos aparecendo em fóruns da dark web com ofertas desse tipo no primeiro trimestre. Aqui, se misturam bandos conhecidos como o Novelli, que presta esse tipo de serviço desde 2019, e o Chiftlocal, que surgiu em março deste ano já como um dos maiores do ramo. Falhas em servidores, credenciais inseguras e acessos a VPNs estão entre os caminhos de intrusão mais populares.

O Brasil aparece como o terceiro país mais frequente nesse tipo de venda, atrás dos Estados Unidos e Reino Unido. Nosso país surge como alvo principal do grupo Novelli, enquanto, de maneira geral, os setores financeiros, saúde e educação são os mais visados na comercialização e obtenção de acesso inicial, que podem levar a golpes de ransomware na sequência.

Fonte: KELA