A vítima-padrão de ransomware é uma pessoa jurídica, fatura acima de US$ 100 milhões anualmente e tem sede nos EUA, na Europa ou na Austrália. Essas são as principais informações obtidas pela pesquisadora Victoria Kivilevich, analista de inteligência de ameaças da empresa israelense Kela, especializada em inteligência estratégica para clientes do setor privado. O levantamento da pesquisadora foi feito em julho de 2021. Durante o trabalho, pesquisando em fóruns do cibercrime, ela observou os agentes de ameaças criando vários tópicos alegando estar prontos para comprar acessos a empresas. Alguns parecem usar o acesso para implantar malware destinado ao roubo de informações e outras atividades maliciosas. Outros têm como objetivo plantar ransomware e roubar dados. No levantamento, a pesquisadora conseguiu determinar o que é valioso para os agentes de ameaças que compram acessos, especialmente atacantes de ransomware, e assim conseguiu construiu o perfil de uma vítima ideal de ransomware.
Veja isso
Ataques de ransomware disparam 288% no 1º semestre
10X mais risco de ransomware, indicam estatísticas
As principais conclusões:
- Foram encontrados 48 tópicos ativos nos quais os atores alegaram que queriam comprar diferentes tipos de acesso. 46% deles foram criados naquele mês, ilustrando a demanda por listagens de acesso.
- 40% dos atores que buscavam comprar acessos foram identificados como participantes ativos na cadeia de suprimentos do ransomware como serviço (RaaS) – operadoras, afiliadas ou intermediários.
- Os atacantes de ransomware parecem formar “padrões da indústria”, definindo uma vítima ideal com base em sua receita e geografia e excluindo certos setores e países da lista de alvos. Em média, os atores ativos em julho de 2021 pretendiam comprar o acesso a empresas norte-americanas com receitas superiores a 100 milhões de dólares. Quase metade deles se recusou a comprar acesso a empresas dos setores de saúde e educação.
- Os atacantes de ransomware estão prontos para comprar todos os tipos de acesso à rede, sendo RDP e VPN os recursos de maior interesse. Os produtos mais comuns (permitindo o acesso à rede) mencionados foram Citrix, Palo Alto Networks, VMware, Fortinet e Cisco.
- Os atacantes de ransomware estão prontos para pagar até 100.000 dólares pelo acesso, com a maioria dos atores definindo os limites pela metade desse preço – 56.250 dólares.
- As semelhanças entre os requisitos dos atores relacionados ao ransomware para vítimas e listagens de acesso e condições para IABs ilustram que as operações RaaS agem como empresas corporativas.
A pesquisadora acrescenta que a expressão “acesso à rede” é usada de maneira muito ampla para descrever vários vetores e pontos de entrada diferentes – de injeção de SQL e webshells até acesso baseado em RDP e VPN. Analisando os threads ativos dedicados à compra de acessos, a pesquisadora descobriu que, além dos acessos de rede iniciais vendidos por Initial Access Brokers (IABs), eles incluíam o acesso a painéis de lojas online, bancos de dados desprotegidos, servidores Microsoft Exchange e muito mais: “Todos esses tipos de acesso são, sem dúvida, perigosos e podem permitir que os agentes da ameaça executem várias ações maliciosas, mas raramente fornecem acesso a uma rede corporativa”, explicou.
Com informações de agências de notícias internacionais
