A razão é que o ransomware como serviço (RaaS) continua a evoluir como modelo lucrativo para cibercriminosos

É provável que os ataques direcionados de ransomware contra empresas e agências governamentais se intensifiquem nos próximos meses, à medida em que o ransomware como serviço continua a evoluir como modelo lucrativo para cibercriminosos. O alerta foi feito por especialistas em segurança na conferência RSA 2020.
O aumento na demanda por ransomware como serviço (RaaS) em fóruns clandestinos, juntamente com o anonimato oferecido pela dark web, provavelmente levará a um aumento nesses tipos de ameaças cibernéticas nos próximos anos, dizem os especialistas. Os cibercriminosos também continuam a vasculhar a rede em busca de novas ferramentas. “Muitos atores estão se sentindo seguros no underground da dark web e têm bons meios para obter lucro – e você vê que isso se tornou quase … um negócio comum”, diz John Fokker, chefe de investigações da McAfee.
Fokker, que participou de uma repressão recente ao operador por trás do kit de ferramentas Rubella, acrescenta que os cibercriminosos continuam aumentando seus arsenais para fazer mais ataques. Muitos desenvolvedores de RaaS mantêm relações simbióticas com vários cibercriminosos ou afiliados, que recebem cerca de 60% dos pagamentos de resgate, enquanto os desenvolvedores recebem o restante, dizem pesquisadores de segurança. Grupos RaaS como Sodinokibi e Grandcrab usaram esse modelo para lançar ataques direcionados.
O aumento do papel dos provedores de serviços ou intermediários na cadeia de infecções por ransomware está abrindo caminho para mais ataques, dizem esses especialistas. “Quando o resgate é muito maior, gera um influxo e uma demanda maior por redes direcionadas. Isso, por sua vez, cria uma reação em cadeia para uma demanda maior pelos serviços de desenvolvimento”, diz Fokker. “Portanto, todos os serviços adjacentes que formam a cadeia para cometer crimes cibernéticos crescem a partir dessa tendência”.
Fokker diz que alguns cibercriminosos de alto nível estão usando ferramentas do Remote Desktop Protocol para ataques de força bruta. “Eles compram milhares de logs e usam ferramentas de pesquisa para percorrer esses logs para encontrar acessos a um provedor de serviços gerenciados e quaisquer logins corporativos específicos para assim conseguir uma entrada na rede e, eventualmente, permanecer”, diz ele.
A Polícia Nacional Holandesa prendeu recentemente um holandês de 20 anos que acusado de criar, distribuir e comercializar o Rubella Macro Builder para criminosos cibernéticos e outros atacantes em vários sites clandestinos e fóruns darknet.
Distractionware e Destructionware
Diana Kelley, CTO de segurança cibernética da Microsoft, diz que algumas gangues de ransomware estão lançando novos tipos de ataques. Isso inclui o uso de “distractionware” – malware projetado para atrair a atenção das empresas para uma área da rede, enquanto o criminoso continua o ataque em segundo plano, diz ela. Outra ferramenta é o “destroyware”, usado pelos invasores para tentar causar danos generalizados na infraestrutura de TI.
“Os atacantes estão usando o malware inclusive para destruir as evidências da sua atividade no sistema invadido”, diz Kelley.