Ransomware as a Service: ameaças agora são revendidas como negócio

1

Durante o primeiro semestre de 2021, a América Latina representou 21,58% do total global de ataques, sendo o Brasil o país mais afetado na região. Entre as detecções de incidentes de ransomware no mundo, se compararmos o primeiro semestre de 2021, o Brasil teve um aumento de 856% em relação ao mesmo período do ano passado.

Se o ransomware em si já é perigoso, pense nele potencializado por meio de um modelo de negócios em constante expansão que os cibercriminosos estão disponibilizando: o Ransomware as a Service (RaaS). O novo serviço ilícito é baseado no modelo de negócios lícito de Software as a Service (SaaS).

O RaaS permite a venda de kits para que os cibercriminosos, sem habilidade ou tempo para desenvolver a própria variante de ransomware, consigam utilizar um de forma rápida e acessível. Eles são fáceis de encontrar na dark web e são anunciados de forma banal, da mesma maneira que um produto comum é divulgado na internet que temos acesso diariamente.

Um kit RaaS pode incluir suporte 24 horas por dia, 7 dias por semana, ofertas em pacote, análises de usuários, fóruns e outros recursos idênticos aos oferecidos por provedores de SaaS legítimos. O preço dos kits RaaS varia de US $40 por mês a vários milhares de dólares – valores triviais, considerando que existem ataques que geram resgates em torno de US $6 milhões. Ou seja, um agente de ameaças não precisa que todos os ataques sejam bem-sucedidos para ficar rico. Existem quatro modelos de receita RaaS comuns:

  • Assinatura mensal por uma taxa fixa;
  • Programas de afiliados, que são os mesmos que um modelo de taxa mensal, mas com uma porcentagem dos lucros (normalmente 20-30%) indo para o desenvolvedor do ransomware;
  • Taxa de licença única sem participação nos lucros;
  • Pura participação nos lucros.

As operadoras de RaaS mais sofisticadas oferecem portais que permitem que seus assinantes vejam o status de infecções, pagamentos totais, arquivos totais criptografados e outras informações sobre seus alvos. Um afiliado pode simplesmente entrar no portal RaaS, criar uma conta, pagar com Bitcoin, inserir detalhes sobre o tipo de malware que deseja criar e enviá-lo. Os assinantes podem ter acesso a suporte, comunidades, ocumentação, atualizações de recursos e outros benefícios iguais aos recebidos pelos assinantes de produtos SaaS legítimos.

O mercado RaaS é competitivo. Além dos portais RaaS, os operadores executam campanhas de marketing e possuem sites que se parecem exatamente com as campanhas e sites da sua própria empresa. Eles têm vídeos, whitepapers e são ativos no Twitter.

Ransomware: você não deve pagar o resgate

Pagar ou não por um resgate de ransomware sempre é uma decisão muito difícil de ser tomada. Se você fizer um pagamento, estará confiando que os cibercriminosos cumprirão sua promessa de fornecer uma chave de descriptografia – o que pode não ocorrer, além de incentivar que esta prática continue a ser exercida.

As operações de cibercriminosos são inerentemente amorais, e não é confiável que os indivíduos terão suas redes e conteúdos de volta como prometido. Na verdade, muitos afiliados de RaaS não perdem tempo fornecendo chaves de descriptografia para todas as vítimas pagantes, pois o tempo pode ser mais bem gasto procurando novos alvos. Como um pagamento de resgate nunca garante a descriptografia dos dados apreendidos, os especialistas em segurança da informação como um todo desencorajam fortemente o pagamento de valores.

Prevenindo ataques de RaaS

A recuperação de um ataque de ransomware é difícil, custa caro e, por isso, é melhor evitá-los completamente. As etapas para prevenir um ataque de RaaS são as mesmas que para impedir qualquer ataque de sequestro de dados, porque o RaaS é apenas um malware empacotado para facilitar o uso por qualquer pessoa mal intencionada.

É importante implementar uma proteção de endpoint confiável e moderna, que funcione em algoritmos avançados e trabalhe automaticamente em segundo plano 24 horas por dia. Além disso, deve-se testar os backups da empresa regularmente para garantir que eles possam ser utilizados para recuperação quando necessário.

Outros pontos relevantes no combate a estas ameaças é manter um programa de atualização de patches rigoroso para se proteger contra vulnerabilidades conhecidas e também implementar proteção antiphishing avançada.

Por último, mas não menos importante: invista em treinamentos de usuários para sua empresa, além de construir uma cultura de segurança. Deixar a cibersegurança na mão de poucos funcionários não é muito interessante, pois limita a solução que deveria ser de conhecimento geral em um negócio. Em momentos de necessidade, como um ataque de ransomware, o alerta deve permitir que todos consigam auxiliar na contenção de vazamentos e na criação de um ambiente corporativo mais seguro.

Daniel Barbosa, especialista em segurança da informação da ESET.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.