Analysis
O crescimento do ransomware é uma preocupação para todos os que trabalham os temas da cibersegurança de uma organização. A ameaça é real e não tem perspetiva de abrandar tão cedo
Por Rui Damião . 19/10/2022
Facto: os ciberataques estão a aumentar. Facto: os ciberataques vão continuar a aumentar. Facto: todas as organizações vão ser atacadas. Facto: o ransomware é uma ameaça com a qual as organizações têm de lidar. O ransomware tem estado em constante crescimento; é um negócio que movimenta milhões. As organizações não devem pagar os resgastes, mas, por uma ou outra razão, ainda o continuam a fazer. Um estudo realizado pela IT Security com o apoio da Sophos – que será publicado na próxima edição – revela que o ransomware é a ameaça que mais preocupa os leitores, com a quase totalidade dos inquiridos a colocar esta ameaça como a que mais teme. Outro estudo, este da Hornetsecurity, indica que seis em cada dez ataques de ransomware começam com phishing e 14% dos mesmos resultam em perda de dados. O mesmo estudo – que questionou dois mil líderes de IT – revela que 24% dos inquiridos foi vítima de um ataque de ransomware, e 20% desses ataques ocorreram no último ano. Se este é o ponto onde estamos, para que ponto vamos? O ransomware vai diminuir? As empresas estão preparadas? Vão ocorrer mais exfiltrações de dados? Tendências do ransomwareAo longo dos últimos anos, o ransomware tem evoluído. O método de ataques deixou a ‘simples’ encriptação e pedido de resgate para modelos mais avançados, onde, por exemplo, são publicados os dados caso o resgate não seja pago.
Para John Shier, Senior Security Advisor da Sophos, a partir do momento em que “o negócio de ransomware se comoditizou, tem-se vindo a assistir à especialização e profissionalização do ecossistema do cibercrime”. Neste momento, é possível perceber que “diferentes grupos com conjuntos de competências especializadas estão a capacitar os atacantes de ransomware ao baixarem a fasquia que limita a entrada de criminosos principiantes”. Algumas tendências apontadas por John Shier estão ligadas à “a utilização de vulnerabilidades, incluindo as de zero-day, através de Initial Access Brokers (IAB) e afiliados de ransomware – especialmente as que são omnipresentes e facilmente exploráveis, como ProxyShell e Follina”. Nuno Cândido, IT Operations, Cloud & Security Associate Director da Noesis, indica que uma das tendências que se tem vindo a registar este ano é “a comercialização de acessos e vulnerabilidades das empresas a redes criminosas”. A comercialização destes acessos é uma “informação é bastante aliciante para os hackers e exponencia os riscos para as organizações”, para além de ser mais um “sinal de alerta para as empresas”. Para Paulo Vieira, Country Manager da Palo Alto Networks, “o risco é o mesmo para todos”. Apontando dados da Unit 42 – unidade de investigação da Palo Alto Networks – o ransomware e o BEC foram os principais ataques nos últimos meses, representando aproximadamente 70% de todos os incidentes. “A ameaça principal do ransomware tem sido a criptografia de dados de computador, tornando impossível para as organizações usá-los para gerir operações e recuperar informação crítica. Essa abordagem continuou no ano passado em alguns ataques de alto nível que interferiram com atividades de rotina que pessoas em todo o mundo tomam como garantidas”, refere o responsável pelo mercado português da Palo Alto Networks.
David Conde, Incident Manager na S21sec, relembra que o ransomware se tornou num dos tipos de ciberataques “com maior crescimento e impacto”. Simultaneamente, “no último ano, assistimos a numerosos ataques de ransomware a infraestruturas críticas de diferentes países, principalmente relacionadas com meios de transporte, fornecimento de energia eólica, fornecedores de eletricidade e água, companhias petrolíferas, forças de segurança e serviços de emergência”. Vasco Sousa, Channel Account Manager da Arcserve, destaca o Ransomware-as-a-Service (RaaS) como uma das atuais tendências desta ameaça, que, sem grande conhecimento técnico, pode levar a cabo o máximo de ataques possíveis, tendo, inclusive, suporte do fornecedor que encripta os dados e solicita o resgate. A massificação do ransomwareO Ransomware-as-a-Service, que, como referido, permite que qualquer pessoa lance um ataque sem grandes conhecimentos prévios, leva à massificação desta ciberameaça. Vasco Sousa refere que este deixa de “ser um ataque que está ao alcance apenas de um técnico ou de grupos altamente especializados e passa a ser um negócio ao alcance de qualquer um”. Se por um lado temos “organizações criminosas que normalmente definem como alvos as organizações maiores” porque podem obter resgates maiores, as PME acabam por ser mais atacadas por estes modelos porque “é um jogo de números”. Rui Serra, Head of Product and Marketing da Anubis Networks, menciona que o cibercrime já é “uma importante operação” e que “quanto mais conseguirem esconder a mão e agilizarem o intento, melhor”. Para além disso, o RaaS tem a “agravante de ser apelativo para pessoas que não fazem carreira no crime, mas que veem o serviço como fácil de utilizar para atacar uma pessoa ou uma organização com a qual tenham antipatias”. David Conde lembra que o Ransomware-as-a-Service assume que “existem grupos dedicados a distribuir e infetar sistemas”, enquanto outros “são responsáveis pelo desenvolvimento”. Esta especialização, diz, gera dois problemas: “um é que temos mais empresas infetadas, mais acessos ilegítimos e, por outro lado, temos o ransomware cada vez mais avançado, capaz de contornar as medidas de proteção mais modernas que o mercado pode oferecer”. Para John Shier, o maior perigo que o RaaS representa é o facto de, como referido, qualquer pessoa o poder executar. “Os grupos RaaS disponibilizam os payloads, a infraestrutura de pagamento e ainda suporte, enquanto os IAB fornecem o acesso inicial. Fica apenas a faltar roubar os dados e executar o ransomware, e isso está perfeitamente ao alcance de atacantes que até nem sejam qualificados, muitos dos quais simplesmente seguem playbooks já testados e comprovados”, detalha.
Paulo Vieira lembra que o Ransomware-as-a-Service é “um negócio gerido por cibercriminosos, para cibercriminosos”. Graças à facilidade que é levar a cabo um ciberataque do género, “a barreira para entrar baixou, aumentando o volume e frequência de ataques de ransomware. E à medida que os ataques de ransomware se tornam mais frequentes, o custo destes ataques também deve crescer”. Para Nuno Cândido, “basta ter capacidade financeira para pagar” o serviço para lançar a cabo o ataque. Esta democratização “associa-se a uma rede cada vez mais complexa de intervenientes, o que torna ainda mais difícil a investigação, identificação e punição de quem os pratica”. Ou pagas ou publicoCasos recentes – nomeadamente o da TAP – mostram que os ataques de ransomware de dupla extorsão estão a democratizar-se. Com o surgimento do ransomware, as organizações foram investindo na proteção dos seus dados, fazendo cópias e backups para, no caso de um ataque, não terem de pagar nem parar a sua operação. Mas o crescimento do investimento em recursos de backup do lado de quem defende levou quem ataca a modernizar o seu ataque. Com isso surge o ransomware de dupla extorsão; pouco importa se uma organização tem mil backups dos seus dados; quem está do outro lado também tem e, sem um pagamento, o mundo inteiro também pode ter. Paulo Vieira indica que os autores das ameaças “têm vindo a combinar cada vez mais extorsão com criptografia. Alguns atacantes focam-se apenas em extorsão. Por exemplo, 4% dos casos da Unit 42 envolveram extorsão sem criptografia, uma técnica além do ransomware que pode ser mais fácil de executar. Nestes casos, os atacantes coagem as organizações a pagarem ao ameaçarem divulgar dados dos consumidores”. Assumindo que “pode ser difícil identificar quantos ataques de ransomware envolvem dupla extorsão, uma vez que nem todos os ataques são reportados e nem todos os atacantes divulgam publicamente os dados roubados”, John Shier indica que os ataques de dupla extorsão – e até tripla extorsão – estão a tornar-se mais comuns. “Isto pode ser especialmente eficaz contra vítimas que sejam capazes de restaurar o seu ambiente sem necessitarem de pagar o resgate, mas que procuram manter o ataque em segredo dos reguladores ou do público”, acrescenta.
Vasco Sousa partilha da mesma opinião e refere que, “infelizmente, nem todos os ataques são reportados, quando são reportados nem sempre o que é comunicado é toda a verdade, umas vezes porque não sabem, outras porque se procura ocultar falhas graves de recursos ou procedimentos”. Para o representante da Noesis, há “um claro aumento sobre esta variante de ataques, sendo que, para além de duplas [extorsões] já se registam triplas, particularmente em empresas com dados altamente sensíveis”. Rui Serra indica que os ataques de dupla extorsão “são a principal opção dos atacantes e só se o ransomware não conseguir tecnicamente exfiltrar os dados é que os ataques não seguem essa via”. Como existem cada vez mais organizações com backups que dispensam o pagamento do resgate apenas e só se estes estiverem inacessíveis por causa do ataque. David Conde afirma que não há, neste momento, “uma tendência clara” de se o ransomware de dupla extorsão já é mais comum que os ataques de ransomware ‘simples’, mas, “sendo um negócio para cibercriminosos, surgirão formas novas e cada vez mais criativas de monetizar o impacto do ransomware”. Como evoluiSe por um lado se assiste a uma “crescente capacidade de prevenção/atuação das empresas”, Nuno Cândido revela que “surgem novos desafios que poderão intensificar esta ameaça, como a implementação de novas funcionalidades que tornam a sua deteção mais complicada, a disseminação de malware a partir de outros dispositivos ou, por exemplo o aumento dos custos do resgate”. Nos primeiros seis meses do ano, a S21sec observou um total de 41 famílias diferentes de ransomware ativas, partilha David Conde, assim como o surgimento de novos grupos de ransomware. Segundo os mesmos dados, o continente mais afetado por ataques de ransomware é a América do Norte, seguido pela Europa. O representante da Anubis Networks partilha dados dos sistemas de segurança de email, que impedem “diariamente milhares de ataques de malware com funções de ransomware e notamos que o volume dos ataques cresce, o que pode significar que está cada vez mais bem-sucedido”. Entre os mais comuns estão “o Emotet, mas também Lockbit”. “Os ataques estão a tornar-se cada vez mais sofisticados”, afirma Vasco Sousa. “Os cibercriminosos passaram também a tomar como alvo os próprios backups apagando-os em primeiro lugar e só depois encriptam os dados primários e pedem o resgate”. A resposta a esta evolução “tem sido a adoção de soluções de imutabilidade de dados, em que a partir do momento em que os dados são escritos numa storage estes não podem ser alterados – leia-se encriptados – nem mesmo apagados”. Se antes existiam diferentes grupos que se distinguiam facilmente uns dos outros pelas suas táticas e ferramentas, desde o leak do playbook do grupo de ransomware Conti, em 2021, muitos cibercriminosos têm vindo a adotar as mesmas táticas e ferramentas, refere John Shier. “Muitos afiliados de ransomware fazem parte de múltiplos programas de Ransomware-as-a-Service, o que dificulta a distinção entre as diferentes variantes de ransomware. A utilização prolífica de ferramentas legítimas e técnicas living-off-the-land, juntamente com a falta de visibilidade, faz com que muitos atacantes passem despercebidos até ser demasiado tarde”, acrescenta. Paulo Vieira, da Palo Alto Networks, refere que foram identificadas, em 2021, pelo menos 42 vulnerabilidades em diferentes tecnologias usadas por operadores de ransomware. “O ransomware provou ser um mecanismo eficaz para os cibercriminosos acertarem em cheio, tanto em termos de pagamentos como de notoriedade”, diz. Para onde vamos
O ransomware chegou – tanto quanto se consegue ver – para ficar; é claro como a água. Rui Serra, da Anubis Networks, acredita que “os atacantes se vão esforçar por ataques em menor escala, com menos visibilidade e, principalmente, dando algum tipo de garantia de que os dados não serão exfiltrados em caso de pagamentos: se o ataque for público, as autoridades são envolvidas, as multas são aplicadas e a postura é de não lidar com os atacantes, o que minimiza a possibilidade de estes receberem um resgate, o que não acontece, por outro lado, se a empresa obtiver a garantia que um pagamento equivale a uma reposição dos dados incólumes, sem divulgação, e sem prejuízo da atividade”. David Conde espera uma “recuperação nas famílias ou grupos de cibercriminosos que foram considerados extintos”. Ao mesmo tempo, “embora, talvez, as maiores inovações venham nos artefactos usados pelos cibercriminosos antes do ransomware. Uma das técnicas que temos visto mais é o DLL Side loading, que permite enganar o sistema e carregar uma biblioteca maliciosa ao invés da legítima e tomar assim o controlo do sistema através de diversos comandos”. John Shier acredita que, entre as melhorias nas tecnologias de defesa e a adoção de backups fiáveis por parte das empresas, “irá tornar-se mais difícil para alguns atacantes beneficiarem apenas da encriptação”. O representante da Sophos acrescenta, também, que “estamos a assistir ao aparecimento de mercados onde os dados roubados são indexados, pesquisáveis e vendidos por ficheiro. Os compradores destes ficheiros podem lançar ataques adicionais contra as empresas vítimas, os seus parceiros ou colaboradores”. Paulo Vieira reforça que “este tipo de atividade deverá crescer nos próximos tempos. Os ataques de multiextorsão estão a ganhar força e os grupos responsáveis por estes ataques já perceberam o que funciona e como conseguir pagamentos de resgate de forma mais rápida e eficaz”.
Nuno Cândido, da Noesis, espera uma “continuação da tendência a que se tem assistido nos últimos anos, ou seja, um aumento da frequência, diversidade e sofisticação destes ataques. A evolução das técnicas de ataque são uma realidade, ataques machine-to-machine, com recurso à inteligência artificial, ataques silenciosos, altamente personalizados, entre outros, colocam novos desafios de segurança”. Por fim, Vasco Sousa espera ataques com “profundo conhecimento da organização em causa. A falha de segurança que é explorada pode não significar o desencadear de um ataque imediato, pode ser uma ameaça que fica latente na rede, a filtrar informação, se conseguir a realizar movimentos laterais para outros dispositivos, a tentar roubar credenciais de utilizadores para poder ter acessos com mais privilégios e inclusivamente a dados financeiros da organização de forma a que quando um resgate for pedido ele seja adequado, por exemplo, ao saldo disponível na conta bancária da vítima”. |