A atividade de grupos de ransomware na América Latina aumentou neste ano, com um impulso mais significativo dos ataques direcionados aos setores corporativo e governamental na região.
De acordo com o “Relatório de Segurança” da ESET, 96% das organizações expressaram preocupação com o ransomware como uma ameaça latente, sendo que 21% admitiram ter sofrido um ataque desse tipo nos últimos dois anos. Deste último grupo, 77% conseguiram recuperar suas informações devido às políticas de backup que possuem, enquanto 4% afirmaram ter pagado pelo resgate dos dados. Das organizações pesquisadas, 84% negaram estar dispostas a negociar o pagamento de resgate dos dados.
“Um dos principais desafios a enfrentar em um futuro próximo será o aumento das campanhas de spear phishing — direcionadas a um alvo específico. Deve-se levar em consideração o aumento dos riscos associados ao maior uso de tecnologias no período pós-pandemia e a necessidade de aprimorar o nível de conscientização dos colaboradores das empresas em todos os níveis”, comenta David González Cuautle, pesquisador de segurança cibernética da ESET América Latina.
“A implementação de cibersegurança na América Latina depende do tipo de organização e, de acordo com o relatório da ESET, há problemáticas em que existe uma convergência, independentemente do setor: o roubo ou vazamento de informações nas empresas é a maior preocupação, com 66%, e está associado a acessos indevidos aos sistemas, ou seja, o aumento de ataques que visam explorar alguma vulnerabilidade por meio de campanhas de phishing direcionado (spear phishing) ou a instalação de códigos maliciosos como ransomware ou trojans de acesso remoto”, completa Cuautle.
Os grupos de ransomware mais ativos na região da América Latina até o momento neste ano, de acordo com a ESET, são:
SiegedSec: conhecido por seu lema de assediar a segurança da vítima, daí o seu nome, em inglês “siege”, que pode ser traduzido como assediar ou sitiar. Seu modus operandi é extorquir a vítima a ponto de deixá-la apenas com a opção de pagar pelo resgate de suas informações ou, no pior dos casos, vendê-las em fóruns da dark web ou Telegram.
Desde o início de suas atividades em fevereiro de 2022, vinculadas ao grupo de ransomware GhostSec, demonstrou que não tem preferência por seus alvos, conseguindo afetar setores em todo o mundo, como saúde, tecnologia da informação, seguros, contabilidade, direitos e finanças. No que diz respeito à sua atividade na América Latina, o SiegedSec conseguiu obter documentos de intranet, bases de dados, informações de usuários e detalhes de organizações violadas em vários setores na Colômbia, com entidades governamentais e de saúde entre as mais afetadas.
Nokoyawa: de origem russa e iniciando suas atividades em fevereiro do ano passado, esse grupo se caracteriza por ser o único a utilizar uma criptografia altamente sofisticada — criptografia de curva elíptica, ou ECC, em inglês —, adicionando sua própria extensão de arquivo homônima (Nokoyawa). Este grupo conseguiu obter uma quantidade significativa de informações de um laboratório no setor de saúde do Brasil até o terceiro quadrimestre de 2023.
ALPHV/BlackCat: a maneira como esse grupo opera desde sua aparição em novembro de 2021 é por meio do ransomware-as-a-service (RaaS), pois seus ataques não ocorrem aleatoriamente ou por meio de campanhas de spam, mas sim, seus alvos são determinados pelos associados com os quais contam. Ou seja, eles unem esforços para realizar ataques a alvos já perfilados. Isso faz com que seu modus operandi seja específico para cada caso de uso, assim como as técnicas empregadas durante seus ataques.
No meio de 2023, ALPHV divulgou informações confidenciais sobre a exfiltração de dados de uma das maiores empresas do México por meio de seu canal no Telegram. Da mesma forma, o setor público não ficou isento desse ataque.
Stormous e sua aliança com GhostSec: o grupo Stormous surgiu em meados de 2021. Inicialmente, o grupo, de origem árabe, divulgava ataques aos Estados Unidos por meio de seus canais no Telegram e em fóruns da dark web. Devido ao conflito Rússia-Ucrânia, seus objetivos foram modificados e, em meados de julho deste ano, anunciaram oficialmente uma parceria com o grupo de hacktivistas GhostSec para atacar não apenas os Estados Unidos, mas também países da América Latina, incluindo o governo de Cuba.
Vice Society: um dos mais ativos no final de 2022 e início de 2023. A maioria das incidências ocorreu nas indústrias de educação e saúde, mas também há evidências de que outro setor que esse grupo de ransomware está mirando é o setor manufatureiro em países como Brasil, Argentina, Suíça e Israel. Vale ressaltar que eles desenvolveram seu próprio gerador de ransomware personalizado, optando por métodos de criptografia mais robustos, o que indica que o grupo está se preparando para sua própria operação de ransomware como serviço (RaaS).
Veja isso
Gangue de ransomware Royal fez mais de 350 vítimas em 12 meses
Gangue de ransomware LockBit vaza 43 GB de dados da Boeing
A partir da ESET América Latina, compartilhamos algumas recomendações que podem auxiliar na proteção da informação:
- Ter uma política para realizar backups periódicos: isso permitirá que os dados, caso sejam afetados por algum ransomware, possam ser restaurados. De acordo com o ESET Security Report na América Latina, 88% das organizações pesquisadas implementaram essa recomendação.
- Estabelecer uma política para atualização e correções em cada ativo (operacional e de rede): ao ter todos os sistemas, aplicativos e dispositivos atualizados, a vulnerabilidade para que os cibercriminosos explorem falhas de software ou protocolos obsoletos é consideravelmente reduzida. No ESET Security Report na América Latina, 45% das organizações afirmaram realizar atualizações de segurança mais de duas vezes por ano, indicando que ainda há muito esforço a ser feito.
- Educação e conscientização: a capacitação contínua de colaboradores em todos os níveis sobre as melhores práticas de segurança e as tendências de vetores de ataque na região são fundamentais para evitar que um cibercriminoso tenha sucesso. Uma área de oportunidade para as organizações, onde muitos dos ataques de ransomware são bem-sucedidos, é a falta de um programa de treinamento e conscientização (apenas 28% dos entrevistados no ESET Security Report da América Latina afirmaram ter esse programa).
- Ter uma política sobre o princípio do mínimo privilégio: ao estabelecer apenas os privilégios necessários para que o colaborador possa realizar suas atividades, limita-se a capacidade do ransomware se propagar para outros sistemas ou aplicativos.
- Segurança na rede: firewalls, segmentação de rede juntamente com regras de acesso e uso de VPN limitam a possibilidade de propagação de qualquer malware.
- Plano de resposta a incidentes e continuidade de negócios: é importante saber como responder a qualquer incidente ou contingência que possa ocorrer na organização, minimizando o impacto nos negócios e garantindo que continuem funcionando. 42% dos entrevistados indicaram que possuem um plano de resposta a incidentes, enquanto 38% não têm um plano de continuidade de negócios.
- Contar com soluções de segurança avançadas: a implementação de soluções de segurança que detectem e bloqueiem comportamentos anômalos ou suspeitos, como um EDR (endpoint detection and response) e soluções antimalware, permitiria a continuidade dos negócios, proporcionando uma vantagem comercial ao conquistar a confiança dos clientes ao saberem que suas informações estão adequadamente protegidas.