A ISH Tecnologia, empresa nacional de soluções de cibersegurança e proteção de dados, divulga um relatório com um apanhado das principais ameaças encontradas por sua equipe de especialistas no ano de 2021.
De forma geral, a companhia analisa que 2021 foi marcado por um preocupante crescimento no modelo conhecido como ransomware-as-a-service (RaaS), que consiste em um serviço baseado em assinatura que permite aos "afiliados" utilizarem ferramentas de ransomware já desenvolvidas para executar ataques.
Segundo a ISH, isso revela uma ação dos grupos cibercriminosos que tem se tornado recorrente, e deve se repetir cada vez mais: são grupos cuja atuação lembra muito a de empresas profissionais, com análises e adaptações a tendências de mercado, para alavancar sucesso em técnicas mais sofisticadas.
O relatório da ISH também apresenta um "perfil" de cinco dos mais atuantes (e perigosos) grupos de ransomware em 2021:
CONTI – Ator de ameaça global, com foco principal na América do Norte e Europa Ocidental. Possui uma das operações de ransomware mais ativas, em que a distribuição ocorre por meio de Raas. O grupo vaza os dados das vítimas para o seu site na darknet, camada da web só acessada por meio de programas específicos.
LockBit 2.0 – Grupo também especializado em RaaS, que verifica alvos valiosos, espalha a infecção e criptografa todos os sistemas de computadores acessíveis em uma rede, como dispositivos em domínios do Windows. Esse ransomware é usado para ataques altamente direcionados contra empresas e organizações. O grupo tem deixado sua marca ao ameaçar organizações em todo o mundo, com interrupções de operações, extorsão, roubo de dados e publicações ilegais com chantagem, caso a vítima não obedeça. Um ataque desse grupo recente é o feito à multinacional Atento.
REvil Sodinokini – Depois que o grupo compromete suas vítimas, ameaça publicar os dados confidenciais em seu blog na darknet, chamado "Happy Blog", a menos que o resgate seja pago. O código de ransomware usado pelo REvil é bastante semelhante ao usado pelo grupo DarkSide, responsável pelo ataque ao maior oleoduto dos Estados Unidos em 2021. O grupo já foi ator de vários ataques cibernéticos em grandes organizações e serviços como Harris Federation, Acer, violação de dados do Microsoft Exchange Server, Apple, JBS SA, entre outros ataques. Também atua como RaaS.
MAZE – Mira organizações de todo o mundo e de vários setores. Pesquisadores de segurança acreditam que o grupo opera como um modelo de rede afiliado, em que os desenvolvedores compartilham seus rendimentos com vários grupos que implantam o ransomware em redes organizacionais. Mais preocupantes do que apenas a invasão na organização, os operadores de MAZE têm a reputação de aproveitar as vantagens de tivos em uma rede para mover-se lateralmente para outras redes. Como a empresa afetada é um provedor de serviços de TI, é extremamente provável que essa violação possa ser aproveitada para atacar centenas de clientes que dependem de seus serviços.
Pysa (Mespinoza) – PYSA significa "Protect Tour System Amigo". O malware do ransomware é uma variante do Mespinoza, conhecido por já ter vazado dados de pelo menos sete grandes empresas brasileiras. Os afiliados da PYSA podem personalizar seu malware com base nas opções fornecidas pela plataforma RaaS e implantá-lo conforme personalizado.
Os especialistas da companhia também listaram as 10 vulnerabilidades mais perigosas encontradas neste ano, listadas abaixo em ordem crescente de nível de periculosidade:
– Vulnerabilidade de spoofing (ataque de falsificação) de LSA do Windows
– Vulnerabilidade de elevação de privilégio do Windoes Win32k
– Vulnerabilidade de execução de código remoto no Microsoft MSHHTML (programa de renderização)
– Vulnerabilidade de execução de código remoto no VMware vCenter Server
– Vulnerabilidade no mecanismo de autenticação SSH baseado em chave do Cisco Policy Suite
– Vulnerabilidade de execução de código remoto no Microsoft HTTP Protocol Stack
– Vulnerabilidade de execução de código remoto no Pulse Connect Secure
– Vulnerabilidade de injeção de SQL em Accellion FTA 9_12_370
– Vulnerabilidade de injeção de SQL no produto SonicWall SSLVPN SMA100
– Vulnerabilidade de execução de código remoto no Microsoft Exchange Server
Brechas de novembro
Dentre as vulnerabilidades encontradas pela ISH durante o mês de novembro, destacaram-se uma falha que permitia invasões e acessos remotos em duas marcas diferentes de produtos de cibersegurança: Cisco e VMWare Cloud Foundation.
Também foi detectada uma campanha de malwares que se utilizava de planilhas do excel para seus ataques. Esses documentos, oriundos de destinatários com nomes suspeitos, possuíam uma imagem "borrada" do que aparenta ser um boleto ou conta a ser paga, ativando o vírus uma vez clicado no pop-up.
Como tende a ser o caso em situações de ransomware, não existe uma única solução a ser tomada para se proteger destes ataques, mas sim uma série de boas práticas a serem implementadas em empresas, como treinamento em estratégias de engenharia social, atualizações frequentes de hardware e software e realização de backups.
