CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Novos grupos de ransomware irão trocar código-fonte para ataques

Da Redação
23/10/2022

Os ataques de ransomware cresceram 466% desde 2019 e estão sendo cada vez mais usados como precursor da guerra física. As descobertas são do “Relatório de Índice de Ransomware”, da empresa de segurança cibernética Ivanti, referente ao segundo e terceiro trimestre deste ano.

Os dados também mostram que os grupos de ransomware continuam a crescer em volume e sofisticação, com 35 vulnerabilidades sendo associadas a ransomware nos três primeiros trimestres do ano e 159 explorações ativas. Para complicar as coisas, o relatório observa que a falta de dados suficientes e o contexto de ameaças estão dificultando a correção eficaz de seus sistemas e a mitigação eficiente da exposição à vulnerabilidade. O relatório lista dez novas famílias de ransomware na comparação com o trimestre anterior: Black Basta, BianLian, BlueSky, Play, Hive, Deadbolt, H0lyGh0st, Lorenz, Maui e NamPoHyu são as novas cepas surgidas no período, que elevaram o total para 170.

Do ponto de vista geográfico, a Rússia está ocupa a vanguarda entre as famílias de malware descobertas, com 11 grupos de ameaças persistentes avançadas (APT), seguida de perto pela China, com oito, e Irã, com quatro.

De acordo com o relatório, governos hostis cada vez mais patrocinam grupos de ameaças para se infiltrar, desestabilizar e interromper as operações de países-alvo. Em muitos desses ataques, o ransomware está sendo usado como precursor da guerra física, como verificado na guerra Rússia-Ucrânia.

Independentemente da geografia, a Ivanti também diz que os operadores de ransomware dependem cada vez mais de técnicas de spear phishing para atrair vítimas inocentes e descartar sua carga maliciosa. O Pegasus é um exemplo em que uma simples mensagem de phishing foi usada para criar backdoor de acesso inicial, juntamente com as vulnerabilidades do iPhone, levando à infiltração e comprometimento de muitas celebridades mundiais.

Em termos de novas vulnerabilidades exploradas ransomware, a empresa de segurança cibernética detectou duas: a CVE-2021-40539 e a CVE-2022-2613, ambas exploradas por famílias de ransomware como AvosLocker e Cerbe.

O relatório também analisou o impacto do ransomware em infraestruturas crítica, com os três setores mais atingidos sendo saúde, energia e manufatura crítica. Segundo o levantamento, 47,4% das vulnerabilidades de ransomware afetaram os sistemas de saúde, 31,6% afetaram os sistemas de energia e 21,1%, de manufatura.

“As equipes de TI e segurança devem adotar urgentemente uma abordagem baseada em risco para o gerenciamento de vulnerabilidades para melhor se defender contra ransomware e outras ameaças”, explicou Srinivas Mukkamala, diretor de produtos da Ivanti.

Veja isso
Ransomware BlackByte ignora maioria das ferramentas de EDR
Corrupção de dados: nova tática em ataques de ransomware

O executivo disse que isso inclui o aproveitamento de tecnologias de automação que podem correlacionar dados de diversas fontes, mas também medir riscos, fornecer alertas antecipados de armamento, prever ataques e priorizar atividades de remediação. “As organizações que continuam a depender de práticas tradicionais de gerenciamento de vulnerabilidades, como se basear apenas no National Vulnerability Database (NVD), o banco de dados de gerenciamento de vulnerabilidades do governo dos EUA, e outros bancos de dados públicos para priorizar e corrigir vulnerabilidades, permanecerão em alto risco de ataque cibernético”, concluiu Mukkamala.

O relatório também traz insights sobre tendências atuais e futuras de ransomware. Notavelmente, o malware com recursos de plataforma cruzada aumentou, pois os operadores de ransomware podem atingir facilmente vários sistemas operacionais por meio de uma única base de código. O estudo descobriu um número significativo de ataques a fornecedores terceirizados de soluções de segurança e bibliotecas de códigos de software, resultando em uma infinidade de possíveis vítimas. 

Olhando para o futuro, as organizações podem esperar pelo surgimento de novas gangues de ransomware, com os grupos Conti e DarkSide supostamente encerrados. Os novos operadores de ransomware provavelmente reutilizarão ou modificarão o código-fonte e explorarão os métodos adotados por grupos de ransomware extintos.

Compartilhar: