Analysis
O Ransomware-as-a-Service está em expansão e representou quase dois terços das campanhas de ransomware durante o ano passado
08/03/2021
O Ransomware-as-a-Service (RaaS) está a revelar-se eficaz para os criminosos virtuais que querem uma parte da ação de ciber-extorsão, mas sem ter necessariamente as habilidades para desenvolver o seu próprio malware, com dois em cada três ataques a utilizarem este modelo. O Ransomware-as-a-Service é utilizado por developers que vendem ou alugam malware a utilizadores em fóruns da Dark Web. Estes esquemas de afiliados fornecem aos atacantes de baixo nível a capacidade de distribuir e gerir campanhas de ransomware, com o desenvolvedor por trás do ransomware a receber uma parte do pagamento de cada vítima de resgate pela chave de desencriptação. Investigadores da empresa de cibersegurança Group-IB mostram que quase dois terços dos ataques de ransomware analisados durante 2020 vieram de criminosos virtuais que operam num modelo RaaS. A concorrência entre os desenvolvedores de ransomware pode mesmo levar os autores a fornecer ofertas especiais a aspirantes de hackers, o que é mais uma má notícia para potenciais vítimas. "Os programas afiliados tornam este tipo de ataque mais atrativo para os cibercriminosos. A tremenda popularidade de tais ataques fez de quase todas as empresas, independentemente do seu tamanho e indústria, uma potencial vítima", afirma Oleg Skulkin, analista forense digital sénior do Grupo IB. "As empresas tinham de fornecer aos seus colaboradores a capacidade de trabalhar remotamente e observamos um aumento no número de servidores RDP acessíveis ao público. Claro que ninguém pensou na segurança e muitos desses servidores tornaram-se os pontos de acesso inicial para muitos operadores de ransomware", disse Skulkin. No entanto, apesar do sucesso de ataques de ransomware e esquemas RaaS é possível proteger as vítima com alguns procedimentos de cibersegurança – incluindo evitar o uso de senhas padrão que limitam o acesso do público ao RDP. "O compromisso relacionado com o RPD pode ser facilmente atenuado com a ajuda de alguns passos simples mas eficientes, como a restrição de endereços IP que podem ser usados para fazer ligações RPD externas ou estabelecer limites no número de tentativas de login dentro de um determinado período de tempo". As organizações devem ainda apostar na multi-autenticação para limitar o acesso que um intruso pode obter se violar uma conta, ao mesmo tempo que aplicam patches de segurança. Tudo isto pode ajudar a evitar que as organizações sejam vítimas de ataques de ransomware em primeiro lugar – e anular a necessidade de pagar resgates e incentivar esquemas de ransomware. "Enquanto as empresas pagarem resgates, os ataques continuarão a crescer em número e escala e provavelmente tornar-se-ão mais sofisticados", concluiu Skulkin |