O valor médio de pedido de resgate de ransomware foi de US$ 247 mil em 2021, cifra 45% maior que no ano anterior, com a maioria dos operadores de ameaças tentando forçar o pagamento por meio da tática de dupla extorsão dupla, de acordo com o Group-IB.
A dupla extorsão é aquela em que o invasor “sequestra” uma grande quantidade de dados e os criptografa e passa a ameaçar a vítima com o vazamento na internet caso ela não pague o resgate para liberá-los.
O relatório “Ransomware Uncovered 2021/2022” da fornecedora de soluções de segurança foi compilado a partir de uma análise de mais de 700 investigações realizadas por sua equipe de resposta a incidentes. O estudo atribui o aumento contínuo dos ataques de ransomware se deve à proliferação de “brokers” de acesso inicial e às ofertas de ransomware como serviço na dark web.
No relatório, os pesquisadores de segurança do Group-IB observam que ameaças mais sofisticadas dificultam a recuperação das vítimas: o tempo médio de inatividade de um ataque aumentou de 18 para 22 dias na comparação anual. O lado positivo é que o tempo de permanência do invasor caiu de 13 dias para nove no mesmo período. Isso limita o tempo em que os operadores de ameaças precisam para se mover lateralmente nas redes, roubar dados e implantar sua carga útil de ransomware.
O roubo de dados e as ameaças de vazamento foram usados em 63% dos ataques no ano passado como método de forçar o pagamento, diz o Group-IB. A empresa cita o Lockbit, Conti e Pysa como os mais agressivos na divulgação ilegal de dados em sites de vazamento. No entanto, foram dois recém-chegados, Hive e Grief, que chamaram a atenção, chegando à lista das 10 principais gangues de ransomware em número de vítimas cujos dados foram expostos em sites de vazamento.
Veja isso
Cerca de 90% dos gestores admitem que pagariam resgate
Prejuízo em ataque pode custar sete vezes o valor do resgate
O primeiro exigiu um resgate de US$ 240 milhões da MediaMarkt, o maior do ano e de todos os tempos. O Grief é na verdade uma nova marca do DoppelPaymer, uma tática cada vez mais usada por grupos de hackers que desejam evitar serem pegos por órgãos da lei. O DoppelPaymer é um trojan de bloqueio de arquivos que deixa pedido de resgate redirecionando a vítima para um portal de pagamento para a liberação dos dados.
“Dadas as várias rebrands forçadas por ações de aplicação da lei, bem como a fusão de táticas, técnicas e procedimentos (TTPs) devido à constante migração de afiliados de um programa de ransomware como serviço (RaaS) para outro, está se tornando cada vez mais desafiador para os profissionais de segurança acompanhar das táticas e ferramentas em constante evolução dos agentes de ameaças de ransomware”, alertou o chefe da equipe de análise forense de dados e resposta a incidentes do Group-IB, Oleg Skulkin.
O protocolo de área de trabalho remota (RDP) continua sendo o principal vetor de ataques (47%), seguido por phishing (26%). Mais ataques foram facilitados por explorações de aplicativos voltados para o público no ano passado (21%) do que em 2020 (17%).