Um ataque de ransomware é um bug do qual não podemos nos livrar. Não importa quantas sentinelas você tenha implantado dentro e ao redor de seu perímetro, mesmo assim, ele sempre acaba encontrando uma nova forma de acessar seus dados.

A linha entre o ransomware e uma violação de dados está desaparecendo lentamente. Os agentes de ameaças preferem o primeiro a outros modos de ataque porque, antes de tudo, eles funcionam. A Cybercrime Magazine prevê um novo ataque de ransomware a cada 11 segundos em 2021, quando em 2016 eles aconteciam a cada 14 segundos e em 2014 a cada 40 segundos. Esses tipos de ataques são fáceis de iniciar, extremamente difíceis de rastrearem até a fonte e, sim, eles evoluíram. Veja por que os ataques de ransomware estão ainda piores em 2021.

Não é mais apenas criptografia, é extorsão dupla

Confira um exemplo de ataque de ransomware típico:

Muitas vítimas sobreviveram a ataques devastadores graças aos seus backups armazenados em um local seguro que não pôde ser criptografado. Com eles, as vítimas apenas restauram os arquivos e seguem com a vida; não há razão nem para se envolverem com a ameaça. Agora, os cibercriminosos desenvolveram uma nova estratégia em que não apenas mantêm as máquinas como reféns, mas também sugam dados confidenciais e ameaçam liberá-los para o mundo se os alvos não cumprirem seus termos.

Quase 50% dos casos em 2020, além de criptografar os dados, também incluíram a ameaça de liberar esses dados. Estudos sobre ransomware afirmam que “desde 5GB até 400 GB de dados compactados estão sendo roubados de uma vítima antes da implantação do ransomware”.

Os operadores de ransomware nem sempre colaboram mesmo quando o resgate é pago

Adivinha? Os invasores não são confiáveis. Embora as vítimas possam decidir que há razões válidas para pagar – evitar a exposição pública de dados roubados ou restaurar seus dados criptografados, é importante observar que os cibercriminosos podem não devolver os arquivos roubados, mesmo depois do resgate ser pago.

Os dados podem ser negociados, vendidos, mantidos para uma futura tentativa de extorsão ou expostos antes mesmo do resgate ser pago. Por exemplo, aqui está um extrato de um labirinto de mensagens que os operadores de ransomware deram às organizações vitimadas.

Qual foi o motivo mais importante para o ransomware em 2020?

Esta ilustração, de uma pesquisa recente, mostra os dados agregados combinados de casos de ransomware. As credenciais expostas do protocolo de desktop remoto (RDP) foram um fator importante nos incidentes em 2020. De acordo com a pesquisa, “o fornecimento de credenciais RDP já comprometidas é tão grande que o preço está realmente diminuindo. Este é um sinal alarmante, pois indica que a oferta está superando a demanda ”.

Os vetores de ataque também variam de acordo com o tamanho das empresas. Uma vez que as empresas menores não podem pagar milhões de dólares em resgate, atingi-las de forma rápida e forte com as credenciais RDP expostas é a melhor aposta de ameaça. As vulnerabilidades de phishing e software de e-mail são viáveis para empresas maiores porque essas técnicas são mais envolventes e o pagamento justifica o esforço por parte do invasor. Após a infecção inicial, a próxima etapa é obter privilégios de administrador de domínio e infectar toda a rede com o ransomware.

Em suma, a nova estratégia de ataque de 2021 é:

Os atores da ameaça não visam apenas ambientes locais; mas também direcionar para a nuvem pública, como Azure AD ou Amazon Web Services.

Como podemos acabar com o reinado do ransomware?

Embora os vetores de ataque mencionados anteriormente estejam entre os mais comuns e úteis para interromper um ataque de ransomware em seu caminho, a intrusão também pode acontecer por meio de outros vetores. Numerosas vítimas atingidas perceberam uma terrível surpresa quando um ataque ocorreu devido a um vetor que elas nunca consideraram.

Um ataque de ransomware é dividido em vários estágios. Em cada estágio, mudanças são feitas em sua rede. Essas mudanças devem ser descobertas e correlacionadas a tempo, para que a presença do ransomware possa ser detectada. Dê uma olhada na cadeia de ataque abaixo:

ManageEngine Log360 monitora vários componentes de sua rede quanto à presença de ransomware e fornece alertas em tempo real. Quer saber mais? Descubra de uma perspectiva técnica como ocorrem os ataques de ransomware para saber como o Log360 pode ajudar.