As gangues de ransomware estão usando uma variedade de práticas comerciais para aumentar os lucros, tornando mais difícil para os profissionais de segurança cibernética diferenciar vários grupos, diz um novo relatório da WithSecure (ex-F-Secure). “Esse movimento para espelhar práticas de negócios legítimas significa que táticas, técnicas e procedimentos [TTPs] estão se confundindo”, disse Stephen Robinson, analista sênior de inteligência de ameaças da WithSecure durante o Sphere23, evento da empresa ocorrido na semana passada.
Segundo a empresa de cibersegurança e privacidade de dados, embora a recente interrupção de gangues de ransomware como Conti e Hive seja positiva, mais grupos surgiram desde então usando TTPs do tipo Conti. “Isso mostra que os métodos usados por essas gangues são imitados e copiados por outros atores”, disse Robinson. Ele disse que o mercado clandestino agora inclui grupos de ransomware como serviço (RaaS), brokers de acesso inicial (IAB), crypter-as-a-service (CaaS), cryptojackers, grupos de malware-as-a-service (MaaS) e operadores de ameaças patrocinados por Estados-nação.
O analista da WithSecure observou ainda que os grupos ligados a Estados-nação usam ferramentas disponíveis no mercado clandestino para obter acesso a redes e sistemas sem serem detectados. Em última análise, essa tendência à profissionalização torna o conhecimento e os recursos para atacar organizações acessíveis a operadores de ameaças menos qualificados ou com poucos recursos.
Robinson disse que os IABs estão industrializando a exploração, apesar de seu alto volume de atividade. Durante a apresentação dele no evento, ele destacou um incidente investigado pela WithSecure, que descobriu que uma única organização foi comprometida por cinco agentes de ameaças diferentes, cada um com objetivos diferentes e representando um tipo diferente de serviço de cibercrime:
• O grupo de ransomware Monti
• Qakbot MaaS
• Um grupo de cryptojacking conhecido como 8220 Gang (também rastreado como Returned Libra)
• Um IAB sem nome
• Um subconjunto do Lazarus Group, uma ameaça persistente avançada associada ao Escritório Geral de Inteligência e Reconhecimento Estrangeiro da Coreia do Norte.
Robinson lembrou que, apesar disso, está se tornando mais difícil diferenciar os grupos. Isso afetará as técnicas tradicionais de detecção e deve haver uma nova maneira de pensar para os defensores. “Você precisa tratá-los todos como uma ameaça semelhante e precisa estar preparado para qualquer um deles”, disse ele à Infosecurity. “Você realmente precisa estar preparado antes que isso aconteça, porque você realmente não tem chance de se atualizar se alguém entrar em sua rede.”
Veja isso
Ransomware usa código vazado para atingir Windows e Linux
Repositórios de backup são alvos em 93% dos ransomware
Segundo ele, se for uma empresa valiosa e alguém invadir, tudo o que ele quer fazer é executar algum software de criptografia no servidor de borda. “Mas se ele descobre que é uma empresa de alto faturamento, ele pode vender esse acesso a outra pessoa que queira fazer algo.” Ele acrescentou que há evidências de atividade na dark web, onde entidades publicam solicitações de acesso a empresas com faturamento de US$ 100 milhões. “Eles não se importam com quem é, eles se importam com o quão valioso é”, disse Robinson.
De acordo com a análise da WithSecure de mais de 3 mil vazamentos de dados por grupos de ransomware de extorsão multiponto, as organizações nos EUA foram as vítimas mais comuns desses ataques, seguidas pelo Canadá, Reino Unido, Alemanha, França e Austrália. Juntas, as organizações desses países foram responsáveis por três quartos dos vazamentos incluídos na análise.
A indústria da construção foi a mais impactada, respondendo por 19% dos vazamentos de dados. As empresas automotivas, por outro lado, representavam apenas cerca de 6%. Vários outros setores ficaram entre os dois devido a grupos de ransomware com diferentes distribuições de vítimas, com algumas famílias visando um ou mais setores desproporcionalmente a outros.
