Opinion

A evolução do Ransomware - navegar numa nova era de cibercriminalidade

Na mais recente edição do seu Relatório Anual de Segurança, a Check Point Software Technologies olhou para trás num ano tumultuoso em cibersegurança, que viu os níveis de ataque atingirem um máximo histórico em resposta ao conflito Rússia-Ucrânia

Por Rui Duro, Country Manager Portugal, Check Point . 27/03/2023

A evolução do Ransomware - navegar numa nova era de cibercriminalidade

Mas o que podemos esperar no futuro? 

Analisemos a evolução dos resgates, desde um exercício de fazer dinheiro até operações altamente organizadas.

O resgate é uma das maiores ameaças à segurança de uma organização. Nos primeiros tempos, os ataques eram conduzidos por entidades únicas que desenvolviam e distribuíam grandes quantidades de cargas úteis automatizadas a vítimas selecionadas aleatoriamente, recolhendo pequenas somas de cada ataque "bem sucedido". Rápido até aos dias de hoje, e estes ataques evoluíram para se tornarem processos maioritariamente operados por seres humanos, levados a cabo por múltiplas entidades ao longo de várias semanas. 

Em 2022, 1 em cada 13 organizações sofreu uma tentativa de ataque de Ransomware, enquanto o governo da Costa Rica foi forçado a declarar uma emergência nacional quando hackers russos, Conti, violaram o seu Ministério das Finanças e exigiram um resgate de 20 milhões de dólares

No entanto, à medida que avançamos para 2023, o resgate tal como o conhecemos está a evoluir: o número de vítimas está a diminuir, e as exigências dos hackers estão a mudar. Poder-se-ia ser perdoado por pensar que isto é uma coisa boa mas, de facto, é porque o ecossistema do resgate se tornou cada vez mais fragmentado mas, em paralelo, muito mais concentrado em alvos específicos e mais sofisticado. Novas variações de malware aparecem diariamente, o que criou uma paisagem de ameaça complexa e difícil de navegar.

Mudar o foco da encriptação para a extorsão 

O foco dos maus atores afastou-se dos pagamentos de resgate e está agora firmemente na extorsão de dados não encriptados. Porquê? Os dados não encriptados são mais valiosos. Podem ser libertados para o domínio público quase imediatamente, o que significa que as vítimas estarão ansiosas por os obter de volta, independentemente do custo. Muitos tipos diferentes de informação são considerados sensíveis, desde dados financeiros e de propriedade de empresas a dados pessoais relativos à saúde física ou mental ou qualquer outra informação pessoal identificável (PII), o que torna a ameaça de exposição de dados ainda mais potente. Alguns grupos saltam agora completamente a fase de encriptação, confiando apenas nas ameaças de exposição de dados para extorquir dinheiro. A filtragem de dados é muito mais fácil do que encriptar toda uma rede, implementar a encriptação profissionalmente e ajudar na desencriptação quando o resgate é pago. Os cibercriminosos encontram formas de fazer menos e obter mais.

Um exemplo extremo da eficácia da ameaça da exposição de dados pessoais foi demonstrado num ataque ao Medibank, uma seguradora de saúde australiana, em Outubro de 2022. Quando a empresa se recusou a pagar pedidos de resgate de 10 milhões de dólares, os atacantes (possivelmente ligados ao grupo REvil) despejaram enormes quantidades de informações pessoais relacionadas com a interrupção da gravidez, abuso de drogas e álcool, questões de saúde mental e outros dados médicos confidenciais relativos a milhões de clientes australianos e internacionais.

A evolução do Ransomware-as-a-Service (RaaS)

Enquanto o ecossistema de resgate está a fragmentar-se, vemos também um pivot para modelos de negócio mais atraentes, incluindo o Ransomware as a Service (RaaS). 

Muitas vezes referido como um resgate operado pelo homem, é o aspeto humano que torna RaaS tão perigoso. Os atacantes humanos podem tomar decisões calculadas que resultam numa grande variação de padrões de ataque especificamente adaptados a alvos individuais. Disponível através da teia escura, é essencialmente um arranjo entre duas partes. Uma desenvolve as ferramentas para realizar um ataque, e a outra implementa a carga útil. Se o ataque for bem sucedido, ambas as partes recebem uma parte dos lucros com o custo inicial e a acessibilidade do RaaS tornando-o tão fácil. Qualquer pessoa pode adquirir um kit e só precisa de livros de jogos bem escritos e de alguns conhecimentos técnicos básicos para executar um ataque. 

O RaaS é extremamente lucrativo, e qualquer pessoa que venda é um alvo de topo para as autoridades. Por exemplo, em 2021, o Departamento de Estado dos EUA ofereceu uma recompensa de 10 milhões de dólares por informações que levassem à localização do especialista em RaaS, o DarkSide.

Os líderes de segurança estão preocupados que RaaS cresça em popularidade nos próximos 12 meses como uma consequência potencial de despedimentos no sector tecnológico. Por exemplo, nos primeiros dois meses de 2023, mais de 107.000 empregados do sector tecnológico perderam os seus empregos. Muitos despedimentos foram em áreas especializadas onde os empregos focados na tecnologia são escassos, e a ameaça de funcionários descontentes que utilizam as suas competências para apoiar os maus atores poderia começar a infiltra-se para o espaço da cibercriminalidade.

O ransomware é uma ameaça significativa e dispendiosa que precisa de ser enfrentada. Mas será que estamos a ver as marés mudarem à medida que os governos de todo o mundo avançam para uma ação ofensiva contra estes grupos?

Chegou o momento de hackear os hackers?

Nações de todo o mundo já possuem capacidades ofensivas de hacking. Em Janeiro de 2023, o Procurador-Geral dos EUA anunciou que o FBI e os seus parceiros internacionais tinham conseguido interromper temporariamente a rede do prolífico bando de ransomware, Hive. Com efeito, tinham hackeado os hackers. 

A operação, que começou em 2022, salvou múltiplas organizações governamentais de terem de pagar milhões de dólares em pagamentos de resgate. Por exemplo, o FBI conseguiu interromper um ataque contra um distrito escolar do Texas e impediu-o de fazer um pagamento de 5 milhões de dólares aos hackers. A prova clara de que o hacking na ofensiva funciona e pudemos ver mais organizações a adotar este método nos próximos 12 meses. 

Da mesma forma, após dois grandes ataques cibernéticos, back-to-back contra o gigante australiano das telecomunicações Optus e o titã dos seguros Medibank, o ministro australiano da segurança cibernética prometeu "hackear os hackers".  Em Dezembro de 2022, o Japão também iniciou o processo de alteração de leis para permitir operações cibernéticas ofensivas contra os hackers estrangeiros.

Levanta-se a questão; se mais grupos soubessem que poderiam ser pirateados antes de lançarem um ataque, será que pensariam duas vezes sobre o assunto?

Qual é a solução para a evolução dos resgates?

Uma forma de prevenir os ataques de resgate seria introduzir uma proibição de organizações que efetuam pagamentos. Por exemplo, na Florida e na Carolina do Norte, é ilegal para as agências estatais pagar um resgate e a Austrália está a considerar a possibilidade de codificar as proibições de pagamento em lei. No entanto, isto poderia resultar em maus agentes especificamente dirigidos a organizações que têm menos probabilidades de lidar com períodos prolongados de inatividade. Hospitais, fornecedores de energia e escolas poderiam tornar-se alvos principais e a ameaça de prejudicar genuinamente a sociedade ou indivíduos poderia forçar estas organizações a pagar. 

Embora subsistam elementos de resgate antecipado, é inegável que os métodos e a execução evoluíram. Costumava tratar-se de lucro, mas agora trata-se de muito mais do que isso. medida que a paisagem de ameaça se torna mais fragmentada e RaaS continua a prosperar, 2023 poderá ser um ano fulcral na luta contra ela.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.