O novo assistente de cibercrime: Ransomware as-a-Service

O ransomware traduz-se já nos dias de hoje num modelo de negócio maduro, rentável, com profissionais especializados e vários recursos ao dispor, e ainda, em constante evolução. Contudo, essa evolução não envolve somente novos avanços em tecnologia, como também um novo modelo de negócio: ransomware como serviço (RaaS). 

Hoje, observamos uma variedade de campanhas de ransomware as-a-service que incluem cada vez mais métodos de ataque altamente complexos, personalizados e direcionados, e onde grupos cibercriminosos que não possuam o seu próprio ransomware, podem comprar um “kit” RaaS através da dark web, com suporte, a baixo custo, e assim aproveitar esse malware para desenvolver ciberataques da sua autoria e proveito próprio. Além de típica encriptação de dados, os cibercriminosos estão a utilizar estratégias de dupla e tripla extorsão, onde ameaçam divulgar informações sensíveis, caso o resgate não seja pago. O modelo de RaaS baixa os requisitos de entrada para atacantes que podem não ter as competências ou os meios técnicos para desenvolver as suas próprias ferramentas, mas são capazes de gerir ferramentas prontas a serem utilizadas para realizar ciberataques.

LockBit, RansomHub, PLAY, Hunters International e Akira foram os grupos de ransomware as-a-service mais ativos e impactantes em 2024. Utilizam táticas avançadas, como extorsão dupla e tripla, e muitas vezes exploram vulnerabilidades de software para entrar e exigir resgates. Um dos ataques de ransomware LockBit mais notáveis ​​foi no Royal Mail no início de 2023. Este ataque causou uma interrupção de 6 semanas no transporte internacional com um pedido de resgate inicial de 65,7 milhões de dólares e posteriormente, reduzida para 33 milhões. Outro grande ciberataque teve como alvo o TSMC (Taiwan Semiconductor Manufacturing Company) em junho de 2023, onde o LockBit exigiu um resgate de 70 milhões de dólares.

O LockBit 3.0 é a versão mais recente e continua a explorar vulnerabilidades por meio de phishing e engenharia social. O grupo de ransomware opera maioritariamente na América do Norte, Europa e na região da Ásia-Pacífico. Responsáveis por cerca de 1.700 ciberataques nos EUA desde 2020 e cerca de 91 milhões de dólares recolhidos em pagamentos de resgate, o LockBit é uma força a ser reconhecida e combatida.

Embora seja possível ver alguns grupos de cibercrime a confiar na Inteligência Artificial (IA) para potenciar as ofertas “as-a-service” prevê-se que os cibercriminosos utilizem cada vez mais os resultados automatizados dos Large Language Models (LLMs) para fomentar as ofertas de CaaS e fazer crescer o seu negócio, como por exemplo, através do reconhecimento em redes sociais e a automatizar essa inteligência em kits de phishing completos.

Existem já inúmeras ferramentas, como é o caso do WormGPT (IA generativa que não possui quaisquer salvaguardas ou verificações de segurança) que apoia os cibercriminosos em várias componentes e fases do ciberataque, desde a simples escrita de mensagens personalizadas, sem erros e barreiras linguísticas, à criação de código malicioso. Além disso, as ferramentas de criação de conteúdo de texto, imagem e voz sintéticas continuam a aumentar e a preços acessíveis a todos. Neste sentido, é expectável que deepfakes continuem a ser utilizados para facilitar ciberataques baseados em engenharia social, como fraudes financeiras e também para apoio a campanhas de desinformação online.

Os impactos desta evolução do ransomware são profundos, a começar pelos custos financeiros exorbitantes. Além dos resgates pagos, que ascendem aos milhões de dólares, as empresas enfrentam despesas significativas em recuperação de sistemas, interrupções operacionais e multas regulatórias. Além disso, estes ciberataques poderão provocar uma perda de confiança por parte de clientes e parceiros, e ter consequências irreparáveis para a reputação corporativa, especialmente num mercado altamente competitivo onde a segurança da informação é um fator decisivo. Para enfrentar esta ameaça crescente, é urgente adotar uma abordagem proativa, na qual investir em cibersegurança deixa de ser uma escolha para se tornar em uma necessidade estratégica que faz toda a diferença.

Conteúdo co-produzido pela MediaNext e pela Visionware