Os ransomwares têm crescido não somente em complexidade, como também em quantidade. Com um total de 291 incidentes registrados, o mês de outubro foi o que teve o maior número de ocorrências de ataques neste ano, segundo relatório da ISH Tecnologia. O número também representa uma alta de aproximadamente 23% em relação à média do segundo semestre. No comparativo com outubro de 2020, o crescimento foi de 54%.
Outro dado preocupante levantado pela empresa de cibersegurança é que em todos os meses do ano o número bruto de incidentes foi maior que os mesmos períodos de 2020. Caso a média anual seja mantida, o que, segundo a equipe da ISH, é provável, o ano deve fechar com um impressionante crescimento de 90% na média anual de ransomware em relação a 2020.
Confira na tabela o número de incidentes de ransomwares registrados, de janeiro de 2020 a outubro de 2021:
Aprimoramento de táticas e modelos
“Ilustrada por estes preocupantes números, a realidade hoje é que os grupos criminosos se aprimoram cada vez mais, ampliando seu leque de táticas, tecnologias usadas e até mesmo modelos de negócios”, afirma José Paulo Paschoa Filho, head de SOC da ISH Tecnologia. Por todos os processos envolvidos e complexidade das operações, o especialista ressalta ainda que a atuação desses grupos assume cada vez mais a aparência de “empresas profissionais”.
O relatório da ISH também liga o alerta para cinco dos mais atuantes grupos de ransomware atualmente:
- Conti – Ameaça global com foco principal na América do Norte e Europa Ocidental. Possui uma das operações de ransomware mais ativas, em que a distribuição ocorre por meio de um modelo de ransomware como serviço (RaaS). O grupo vaza os dados das vítimas para o seu site na dark web, camada da web só acessada por meio de programas específicos.
- LockBit 2.0 – Grupo também especializado em RaaS, que verifica alvos valiosos, espalha a infecção e criptografa todos os sistemas de computadores acessíveis em uma rede, como dispositivos em domínios do Windows. Esse ransomware é usado para ataques altamente direcionados contra empresas e organizações. O grupo tem deixado sua marca ao ameaçar organizações em todo o mundo, com interrupções de operações, extorsão, roubo de dados e publicações ilegais com chantagem, caso a vítima não obedeça. Um ataque desse grupo recente é o feito à multinacional Atento.
- REvil/Sodinokini – Depois que o grupo compromete suas vítimas, ameaça publicar os dados confidenciais em seu blog na darknet, chamado “Happy Blog”, a menos que o resgate seja pago. O código de ransomware usado pelo REvil é bastante semelhante ao usado pelo grupo DarkSide, responsável pelo ataque ao maior oleoduto dos Estados Unidos em 2021. O grupo já foi ator de vários ataques cibernéticos em grandes organizações e serviços como Harris Federation, Acer, violação de dados do Microsoft Exchange Server, Apple, JBS SA, entre outros ataques. Também atua como RaaS.
Veja isso
12 presos, suspeitos do ransomware em 1.800 empresas
Malware usado em ransomware já afeta empresas no Brasil
- Maze – Mira organizações de todo o mundo e de vários setores. Pesquisadores de segurança acreditam que o grupo opera como um modelo de rede afiliado, em que os desenvolvedores compartilham seus rendimentos com vários grupos que implantam o ransomware em redes organizacionais. Mais preocupantes do que apenas a invasão na organização, os operadores de Maze têm a reputação de aproveitar as vantagens de ativos em uma rede para mover-se lateralmente para outras redes. Como a empresa afetada é um provedor de serviços de TI, é extremamente provável que essa violação possa ser aproveitada para atacar centenas de clientes que dependem de seus serviços.
- Pysa (Mespinoza) – Pysa significa “Protect Tour System Amigo”. O malware do ransomware é uma variante do Mespinoza, conhecido por já ter vazado dados de pelo menos sete grandes empresas brasileiras. Os afiliados da PYSA podem personalizar seu malware com base nas opções fornecidas pela plataforma RaaS e implantá-lo conforme personalizado.
Tão variadas quanto as abordagens feitas por esses grupos devem ser as estratégias tomadas para evitar vazamentos de dados. “Seria ótimo se fosse o caso, mas infelizmente não temos nenhuma bala de prata contra os ransomware, mas sim um conjunto de boas práticas que visam aumentar a segurança”, analisa Paschoa. Dentre elas, estão a implementação de autenticação multifatorial (MFA), atualização de Sistemas Operacionais com as últimas correções disponíveis e campanhas de conscientização sobre o funcionamento desses ataques e técnicas de engenharia social.