Uma média de 4 mil ataques de ransomware são registrados por dia na América Latina, de acordo com os dados da Kaspersky, nos primeiros oito meses do ano. Essa quantidade representa um decréscimo de 28% em relação ao mesmo período de 2021 e o Brasil está na lista de países que registram essa tendência de queda. Para os especialistas da empresa, os criminosos estão focando cada vez mais em ataques direcionados e lucrativos e no desenvolvimento local de ransomware voltados a atacar instituições latino-americanas do setor público e privado.
A análise da Kaspersky mostra que os países apresentam tendências diferentes. Por exemplo, Colômbia, Costa Rica e Equador registram aumento dos ataques em 2022, enquanto Brasil, Chile, República Dominicana, México e Panamá apresentam queda neste ano. Para completar o ranking, a Argentina, Guatemala e Peru mostram ataques em "ondas". Apesar das distintas características, os especialistas da empresa reforçam que o cenário atual não significa que a ameaça desapareceu ou que mudanças não podem ocorrer no curto prazo.
Outra conclusão do estudo mostra que os criminosos latinos estão criando seus próprios ransomware e o ChileLocker é o principal destaque desta tendência –ganhou o nome do primeiro país que registrou ataques dele, em agosto de 2022. Essa família de ransomware latino tem a capacidade de roubar credenciais salvas em navegadores, mapear servidores e dispositivos na rede para criptografá-los e evitar a detecção do antivírus por meio de uma função que permite o agendamento da execução do ransomware. Até o momento, o ChileLocker foi detectado apenas no Chile e na Colômbia.
"Na região, o esquema de Ransomware as a Service prosperou e opera como uma indústria formal, com 'funcionários' de diferentes níveis que estudam suas vítimas em potencial e planejam ataques 24 horas por dia, 7 dias por semana. O avanço e a profissionalização desse crime têm uma explicação: esse crime online movimenta mais dinheiro do que outras atividades ilícitas, como a venda de armas ou o tráfico", avalia Marc Rivero, analista sênior de segurança da Kaspersky.
O estudo da Kaspersky detalha a profissionalização dos grupos de ransomware, que hoje estão organizados em quatro perfis: os operadores de ransomware, que são grupos locais e são responsáveis por executar o ataque à vítima. Os intermediários (Initial Access Brokers) que também são criminosos com conhecimentos genéricos, mas que tem habilidades de comprometer a segurança das organizações e vendem esses acessos ilegais aos operadores.
Os afiliados, indivíduos com alto grau de conhecimento técnico em invadir redes corporativas e que pode executar um ataque de ransomware por completo (sem depender dos perfis anteriores). E os criadores de ransomware que detém altíssimo conhecimento técnico, mas preferem compartilhar seu conhecimento (como um serviço) em troca de uma porcentagem nos lucros dos ataques bem-sucedidos.
De acordo com a análise da Kaspersky, os "donos" do malware ficam com 20 ou 30% dos ganhos, enquanto a maior parcela é dividida com quem está mais exposto — sendo que os intermediários são os que mais ganham (em torno de 50%), pois são os responsáveis pela maior parcela do trabalho (invasão).
Na América Latina, as cinco famílias mais comuns de ransomware são Trojan . Ransom . Win32 . Wanna, Trojan . Ransom . Win32 . Stop, Trojan . Ransom . Win32 . Blocker, Trojan . Ransom . MSIL . Blocker e VHO . Trojan . Ransom . Win32 . Convagent, todos com a chance de criptografar os dados de suas vítimas.
Outra tendência que merece atenção e que faz parte das previsões para o próximo ano é a utilização do Ransomware destrutivo, que tem o único propósito de danificar recursos das instituições, como aconteceu com o HermeticRansom, detectado no início de 2022."Isso obriga todos os tipos de instituições a redobrarem as medidas de cibersegurança", recomenda o analista da Kaspersky.