Ransonware pelo Mundo
Mapeando e compreendendo o escopo e a sofisticação do Ransomware
Brasiline
13 de julho de 2020

Quão séria é a ameaça de ransomware?

Os ataques de ransomware mais que dobraram no ano de 2019, com hackers modificando métodos de ataque para pagamentos mais lucrativos. Entretanto, ao mesmo tempo, apenas uma em cada três organizações afirma estar confiante de que pode rastrear e remediar ataques.

As repercussões financeiras do ransomware também dispararam. Espera-se que o ransomware tenha um impacto global de US $ 20 bilhões até 2021. As demandas de ransomware geralmente atingem somas de seis dígitos e, como a transferência é frequentemente feita pelo bitcoin, é relativamente simples para os cibercriminosos lavá-lo sem que seja rastreado. Os custos indiretos são os da interrupção dos negócios associados a um ataque de ransomware. No setor público, 42% das organizações sofreram um incidente de ransomware nos últimos 12 meses.

Apenas a ponta do iceberg

Esses números provavelmente não são uma representação verdadeira da extensão do problema. Seus ataques são amplamente subnotificados, com menos de um em cada quatro incidentes sendo relatados. Um novo relatório revela que o cibercrime pode ser amplamente subnotificado. Mais da metade dos entrevistados disse acreditar que a maioria das empresas subnotifica crimes cibernéticos, mesmo quando necessário.

Para empresas que pensam que são pequenas demais para serem alvo de ataques ransomware, simplesmente não é mais o caso. Muitas vezes, falta uma TI dedicada. De fato, operando sem as proteções de dados adequadas para se defender, se preparar e se recuperar do ransomware, essas empresas se tornarão rapidamente um alvo principal para cibercriminosos.

Impacto nos negócios do Ransomware

Para organizações que lidam com dados particulares e confidenciais de clientes, como serviços financeiros, hospitais, escritórios de advocacia e outros, isso pode ter consequências deletérias. Além do impacto na reputação da marca, regulamentos como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) exigem notificações de clientes e outras atividades meticulosas que podem chegar rapidamente a centenas de milhares - ou mesmo milhões - de dólares.

Como o impacto potencial resultante da perda de dados ou a incapacidade de acessar dados é medido em minutos ou até segundos, as empresas não podem esperar vários dias para que os criminosos cibernéticos concedam acesso a seus dados invadidos.

Então, como acontece o ransomware?

Vamos começar abordando como ele é distribuído. Qualquer meio digital pode ser usado: email, anexos de sites, aplicativos de negócios, mídias sociais, entre outros. Os e-mails continuam sendo o vetor de entrada número um, com os cibercriminosos preferindo usar os links primeiro e os anexos em segundo.

  • Links de email, 31%;
  • Email Attachments, 28%;
  • Website Attachments, 24%;
  • Fontes desconhecidas, 9%;
  • Mídias sociais, 4%;
  • Business Applications, 1% .

Em outros casos, o ransomware é incorporado como um arquivo em um site que, quando baixado e instalado, ativa o ataque.

Diferentes tipos de ransomware

Os ataques de ransomware vêm em diferentes formas. No ano passado, houve uma evolução substancial em seus ataques. O ransomware tradicional segue os seus dados, bloqueando os arquivos até que o resgate seja pago. Mas com o rápido crescimento dos dispositivos IoT, surgiu uma nova variedade de ransomware. Ele não segue os dados de uma organização, mas visa sistemas de controle (por exemplo, veículos, linhas de montagem de manufatura, sistemas de energia) e os desliga até o pagamento do resgate.

Alguns dos tipos mais comuns existentes hoje:

  • Ransomware pronto para uso. A invasão e criptografia de dados e sistemas são gerenciadas diretamente pelo software executado nos servidores do criminoso cibernético. Exemplos de ransomware pronto para uso incluem Stampado e Cerber.
  • Ransomware como serviço. O CryptoLocker é talvez o modelo mais conhecido como Serviço (RaaS). Desde que seus servidores foram desativados, o CTB-Locker emergiu como o método de ataque RaaS mais comum. Outro RaaS que está crescendo rapidamente é o Tox, um kit que os cibercriminosos podem baixar.
  • Ataques em dispositivos IoT. O ransomware se infiltra em dispositivos de IoT que controlam sistemas críticos para os negócios.

Atualmente, praticamente todo sistema operacional é alvo de ransomware. Os ataques também se estendem à nuvem e aos dispositivos móveis. A nuvem foi deixada praticamente intocada pelo ransomware até agora, por isso é uma nova oportunidade de mercado para os hackers.

Ataques na vida real

Quase todos os setores e tamanhos de organizações são afetados pelo ransomware. Durante 2019, os ataques de ransomware afetaram 113 agências governamentais, municípios e governos estaduais, 764 profissionais de saúde e 89 universidades, faculdades e distritos escolares, com até 1.233 escolas individuais potencialmente impactadas.

A seguir, é apresentado um exame das implicações que o ransomware está tendo em alguns desses principais segmentos da indústria. O exame citará exemplos específicos em que as empresas foram invadidas, não apenas pagando o preço do resgate, mas sofrendo um sério impacto financeiro e operacional.

Setor de saúde

O setor de saúde é um setor em que há muito motivo de preocupação em relação ao ransomware.
Isso faz muito sentido, considerando que muitos sistemas e dados de TI na área da saúde estão conectados ao atendimento ao paciente. Qualquer tempo de inatividade do sistema ou incapacidade de acessar informações pode colocar vidas em risco.

Com o doxxing, em que os cibercriminosos ameaçam liberar em vez de excluir informações privadas, tornando-se uma tática que os cibercriminosos empregam, as repercussões são ainda mais graves.

Os ataques de ransomware dominaram as matérias da área de saúde durante os últimos meses de 2019, aumentando 350% no quarto trimestre.

Contudo, os cibercriminosos nem sempre concedem às vítimas acesso a suas informações. Dentro do estojo de um sistema hospitalar no Kansas, o hospital pagou o resgate inicial, mas os hacktivistas não desbloquearam completamente os arquivos e exigiram mais dinheiro para fazê-lo. Foi nesse momento que o hospital optou por recusar o resgate adicional.

Serviços públicos e energia

O setor de serviços públicos e energia experimenta tantos ataques cibernéticos quanto qualquer outro setor. Os sistemas de controle industrial (ICS) usados para gerenciar e executar a infraestrutura crítica para empresas de serviços públicos e energia apresentam aos cibercriminosos novas oportunidades - e isso inclui hacktivistas de ransomware.

Felizmente, no caso de uma empresa de serviços públicos supervisionando a eletricidade de uma grande cidade no centro-oeste dos Estados Unidos, seu ICS não foi afetado por um ataque de ransomware de spear-phishing que forçou a empresa a desligar o servidor de computadores e as linhas telefônicas por semanas.

Em outro evento recente, um ciberataque desligou uma estação de compressor de gás natural por dois dias inteiros, causando perda significativa de produtividade e receita.

Fabricação

Os fabricantes correm maior risco do que outros segmentos da indústria, pois não estão sob as mesmas restrições regulatórias e de conformidade que outras indústrias, como serviços financeiros.

Além dos sistemas de TI que contêm propriedade intelectual e informações proprietárias, os fabricantes valorizam muito os processos e operações eficientes. Uma interrupção pode resultar em tempo de inatividade que se traduz em menos lucratividade financeira.

No ano passado, a variedade de ransomware LockerGoga atingiu uma série de empresas industriais e de manufatura com consequências catastróficas. Pesquisadores de segurança dizem que a variedade recentemente descoberta do malware é particularmente perturbadora, desligando os computadores por completo, bloqueando seus usuários e dificultando o pagamento do resgate pelas vítimas.

Educação

As notícias sobre ataques ransomware geralmente se concentram em violações na área da saúde, serviços financeiros e outros setores da indústria. Mas a educação está no topo da lista de organizações direcionadas ao ransomware. Por quê? As instituições educacionais possuem números de previdência social, registros médicos, dados financeiros e propriedade intelectual de professores, colaboradores e estudantes, tornando-os alvos lucrativos.

Uma universidade no Canadá sofreu um ataque que bloqueou seu servidor de email. A universidade pagou um resgate de US $ 16.000 em troca de uma chave para desbloquear os arquivos do servidor criptografado. Felizmente, a equipe de TI isolou a infiltração antes que outros sistemas fossem afetados. O ransomware na educação é uma questão global.

Serviços Financeiros e Bancos

Os ataques de phishing e ransomware são os tipos mais relatados de ataques cibernéticos nas empresas de serviços financeiros. A causa mais comum de um incidente, talvez refletindo a natureza interconectada da infraestrutura de TI, foi descrita como uma “falha de terceiros”, de acordo com a Fortinet, responsável por 21% dos relatórios. Os problemas de hardware e software foram responsabilizados por 19% dos incidentes e o gerenciamento de alterações, por 18%.  As cooperativas de crédito e os pequenos bancos estão vendo saltos significativos nestes ataques.

Governo

Com informações críticas contidas em seus sistemas, as agências governamentais oferecem aos criminosos cibernéticos um alvo atraente. O estado de Ohio emitiu um aviso aos municípios locais no ano passado, observando que os ataques de ransomware estão em uma inclinação acentuada e que os municípios locais precisam atender a essas ameaças instituindo as tecnologias e processos corretos.

Vários municípios locais de Ohio foram atingidos com ransomware durante o ano passado. Mais de 170.000 registros de votação no condado de Henry foram comprometidos, com o hacktivista ameaçando liberá-los, a menos que um resgate fosse pago. Nenhum resgate foi remetido e os registros ainda não foram liberados até o momento.

Os cibercriminosos têm como alvo as autoridades. Os sistemas de computador usados pelo escritório de um xerife do condado no Maine foram infectados com ransomware. Depois de tentar várias vezes recuperar as informações, a agência policial decidiu pagar aproximadamente US $ 300 em bitcoin ao hacktivist pelas informações.

Aprendizado

As organizações farão bem em atender aos seguintes tópicos, à medida que o ransomware evoluir e se transformar em uma ameaça cada vez maior para organizações de praticamente todas as formas e tamanhos:

1. Procure uma solução de segurança cibernética que interrompa ameaças conhecidas de ransomware em todos os vetores de ataque. Isso requer um modelo de segurança em camadas que inclua controles de rede, terminal, aplicativo e data center, alimentados por inteligência global proativa contra ameaças.

2. Detecte novas ameaças. Como o ransomware existente está constantemente se transformando e o novo ransomware está sendo lançado, é importante instituir a sandbox correta e outras técnicas avançadas de detecção para identificar as variantes nesses mesmos vetores.

3. Mitigue o invisível. A inteligência acionável em tempo real deve ser compartilhada entre as diferentes camadas de segurança. Esse compartilhamento rápido é a melhor maneira de responder rapidamente a ataques e interromper a cadeia de assassinatos antes que ela mude ou se espalhe para outros sistemas ou organizações.

4. Prepare-se para o inesperado. A segmentação da segurança da rede ajuda a proteger contra comportamentos semelhantes a worms de ransomware, como o SamSam e o ZCryptor. O backup e a recuperação de dados são igualmente importantes.

5. Faça backup de sistemas e dados críticos. Embora possa ser um processo demorado para restaurar um sistema criptografado, além de uma interrupção das operações comerciais e uma perda de produtividade, restaurar um backup é uma opção muito melhor do que ficar refém sem garantia de que o pagamento do resgate resultará em seus dados e sistemas sendo desbloqueados e restaurados. Nesse caso, você precisa da tecnologia, dos processos e até do parceiro de negócios certo para garantir que seus backups de dados atendam aos requisitos de negócios e que sua recuperação possa ser feita rapidamente.

Mais Recentes
Brasiline Tecnologia Visita Auren Energia: Fortalecendo Laços e Inovação em Segurança da Informação
Brasiline
26 de março de 2024
Em visita a Auren Energia, uma prestigiada integrante da Holding Votorantim, nosso VP Cristiano Oliveira foi recebido pelo Leandro Pereira […]
Mercado de MSSPs e ISPs deve passar de US$ 46,4 BI até 2025
Brasiline
25 de março de 2024
Luiz Henrique Silveira, CTO da Brasiline, fala sobre o  uso do SASE pelos MSSPs e explica como funciona a solução […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?