Os pagamentos de resgate de ransomware feitos no ano passado, cujo custo médio ficou entre US$ 1 milhão e US$ 2 milhões, atraíram novos grupos ao cibercrime, que se concentraram em grandes empresas, principalmente na América do Norte e na Europa. Estudo global da empresa de segurança cibernética Group-IB revela que os ataques de ransomware mais do que dobraram em 2020 e aumentaram em escala e sofisticação.
Com base nos dados de mais de 500 ataques analisados em trabalhos de resposta a incidentes, o Group-IB elaborou um amplo relatório para fornecer uma visão geral da evolução do negócio de ransomware e as táticas, técnicas e procedimentos (TTPs) usados nos ataques que resultaram na criptografia dos sistemas da vítima.
Os ataques de ransomware ficaram maiores e mais dinâmicos, com as operações de alguns grupos de hackers proeminentes, embora alguns tenham sido encerrados devido a ação de agentes da lei ou se “aposentaram”. Entretanto, mais e mais operadores de ransomware agora têm sites de vazamento onde publicam dados roubados de vítimas que não pagam o resgate.
Além disso, outros grupos iniciaram operações que seguiram o modelo bem-sucedido de ransomware como serviço (RaaS), os chamados programas de afiliados, ou lidando com todas as etapas do ataque, desde encontrar e comprometer as vítimas até implantar o malware de criptografia de arquivos na rede da empresa vítima e negociar o resgate.
Entre os novos atores que se juntaram à multibilionária indústria de ransomware em 2020 estão o Conti, Egregor e DarkSide. De acordo com os dados do Group-IB, os dois primeiros se tornaram tão prolíficos que têm um lugar entre as cinco principais gangues com o maior número de ataques.
O relatório observa que todos os grupos seguem um modelo de negócios em que todos os envolvidos se concentram no que fazem de melhor: desenvolvimento de malware, acesso inicial, movimento lateral. Os lucros são compartilhados entre os operadores do programa RaaS e as afiliadas.
Veja isso
Hackers usam black hat SEO para enviar ransomware e trojans via Google
Ataques de ‘ransomware das coisas’ crescem 160%, aponta levantamento
A equipe de forense digital e resposta a incidentes (DFIR) do Group-IB constatou que 64% de todos os ataques de ransomware que analisou em 2020 vieram de operadores usando o modelo RaaS. A prevalência de programas de afiliados no submundo do cibercrime foi a tendência reinante no ano passado.
De acordo com os dados do Group-IB, essa abordagem levou a um aumento de 150% nos ataques no ano passado e a um crescimento do valor médio do resgate para US$ 170 mil. Esses números são semelhantes às estatísticas da empresa de remediação de ransomware Coveware, que observou uma média de cobrança de resgate de US $ 154.108 no quarto trimestre de 2020.
No entanto, os atores mais gananciosos, como Maze, DoppelPaymer, ProLock e RagnarLocker, exigiram resgates com valores muito mais altos, em média entre US$ 1 milhão e US$ 2 milhões. Mas houve pagamentos de cifras muito mais elevadas, que chegaram a US $ 34 milhões.
O Grupo IB afirma que, em termos de impacto nas vítimas, os ataques de ransomware causaram uma média de 18 dias de inatividade no ano passado.
Para o acesso inicial a uma rede, os operadores de ransomware normalmente contavam com botnets como Trickbot, Qakbot, Bazar, Buer ou IcedID, com os quais fizeram parceria especificamente para esse propósito.
Normalmente, os hackers passam 13 dias dentro da rede comprometida antes de implantar o processo de criptografia. Durante esse período, eles se movem na rede e aumentam seu controle, identificam e removem backups para aumentar o impacto do ataque.
O principal vetor de comprometimento foram os serviços remotos externos, principalmente RDP (Remote Desktop Protocol), seguido por phishing e exploração de aplicativos voltados ao público em geral (Citrix, WebLogic, servidores VPN, Microsoft Exchange).
Para ajudar as empresas a se manterem atualizadas sobre como as gangues de ransomware operam, o Group-IB mapeou os TTPs mais comuns observados durante suas ações de resposta a incidentes, de acordo com a base de conhecimento Miter ATT & CK.
Com base em suas descobertas, os pesquisadores preveem que a ameaça do ransomware continuará a crescer e os atores se adaptarão para torná-la ainda mais lucrativa, usando variantes do Linux com mais frequência e avançando ou alterando suas técnicas — por exemplo, foco em roubar dados para extorsão e abandonar a criptografia.
Além disso, comprometer redes corporativas para revenda a afiliados de ransomware se tornará um mercado mais rentável, pois mais atores desejarão entrar no jogo que gera muito dinheiro. O Grupo IB também diz que mais atores de ameaças apoiados pelo estado se envolverão tanto para recompensas financeiras quanto para fins perturbadores.
Oleg Skulkin, analista forense digital sênior do Group-IB, diz que o ransomware se tornou “uma indústria multibilionária organizada com concorrência interna, líderes de mercado, alianças estratégicas e vários modelos de negócios”.