O impacto causado nas empresas pelos ataques de ransomware mostram-se cada vez mais assoladores em todo o mundo. Quando os atacantes injetam códigos maliciosos no sistema das organizações, eles podem, além de paralisar o funcionamento, roubar dados de alto valor, causando prejuízos tanto funcionais quanto financeiros, ao exigir o resgate dos dados.
O relatório da Akamai, "State of the Internet – Ransomware à espreita: as técnicas de exploração e a busca ativa por zero-days", conclui que os grupos de ransomware cada vez mais utilizam a extração não autorizada de arquivos ou a transferência de informações confidenciais, modalidade que se tornou a principal fonte de extorsão. O vazamento desses dados podem conter nomes de usuário, senhas e e-mails, além de arquivos preciosos da empresa.
"Essa nova tática indica que as soluções de backup de arquivos não são mais uma estratégia suficiente para proteger contra ransomware" explica Fernando Ceolin, Diretor Regional do Brasil e América do Sul na Akamai. "É necessário adotar técnicas de micro segmentação pois ao separar os controles de segurança da infraestrutura subjacente, pode-se evitar e remediar futuros problemas. Isolando a máquina, é possível reduzir notavelmente os danos que seriam causados se o malware se propagasse por toda a infraestrutura do cliente" conclui.
Ainda de acordo com o relatório, as organizações com receita de até US$ 50 milhões corresponderam a 65% das mais afetadas pelos atacantes durante o período estudado, enquanto as organizações com receita declarada acima de 500 milhões de dólares representaram 12% do total de vítimas.
Além disso, as vítimas de diversos ataques de ransomware tiveram seis vezes mais chances de sofrer o segundo ataque dentro de três meses após o primeiro, e já temos exemplos de reincidência no Brasil.
Outro dado importante trazido pelo estudo foi dos setores mais visados pelos ataques de ransomware. De todos os setores, a fabricação teve um aumento de 42% no total de vítimas entre outubro de 2021 e dezembro de 2022, destacando a ameaça potencial para as cadeias globais de fornecimento. O setor de serviços financeiros teve um aumento de 50% no número total de organizações afetadas anualmente, enquanto o setor de fabricação o setor de varejo ocupa o terceiro lugar com um aumento de 9% no número de empresas vítimas de ransomware por setor.
O LockBit foi responsável por 41% dos ataques gerais ao setor de fabricação. O setor de saúde também observou um aumento de 39% nas vítimas durante o mesmo período e foi alvo principalmente dos grupos de ransomware ALPHV (também conhecidos como BlackCat) e LockBit.
Técnicas de exploração e a busca ativa por Zero Day
Quando um sistema é comprometido por um malware antes que o fabricante tenha consciência disso, é utilizada a nomenclatura de vulnerabilidade Zero Day, ou seja, é o nome dado às vulnerabilidades conhecidas apenas pelos atacantes onde os fabricantes de segurança não tem mecanismos adequados de detecção.
Ao buscarem novas formas de atuação, os atacantes exploram as vulnerabilidades Zero Day e as falhas que estas abrem no sistema. No mais recente relatório State of the Internet divulgado pela Akamai, foi constatado que o uso de vulnerabilidades de dia zero levou a um aumento de 143% no total de vítimas de ransomware entre o início de 2022 e o início de 2023.
O relatório mostra que os cibercriminosos também estão desenvolvendo seus métodos e técnicas de phishing para dar maior ênfase ao abuso de vulnerabilidades combinando diversos métodos de ataque. À medida que esses cibercriminosos mudam de tática, o grupo LockBit dominou o cenário de ransomware, de janeiro de 2021 a junho de 2023, sendo responsável por 39% do total de vítimas, mais do que o triplo do segundo maior grupo de ransomware (Black Basta).
Uma análise mais aprofundada mostra que o grupo de ransomware CL0P está desenvolvendo agressivamente vulnerabilidades de dia zero, aumentando em nove vezes o número de vítimas ano após ano. De acordo com Ceolin, os adversários por trás dos ataques de ransomware continuam a atualizar suas técnicas e estratégias que atingem o coração das organizações visando a paralisação das operações e exfiltração de suas informações críticas e confidenciais.
Como as empresas podem se proteger do ransomware
Para combater ataques de ransomware a Akamai Technologies recomenda que além de realizar o backup regular, manter os sistemas operacionais, aplicativos e software de segurança sempre atualizados, utilizar de filtros de e-mail para bloquear anexos ou links suspeitos e realizar o monitoramento do tráfego de rede, em especial o tráfego interno, as empresas também adotem ferramentas de segmentação e isolamento da rede a fim de separar redes e/ou aplicações críticas ou sensíveis de outras partes da rede para limitar a propagação do ransomware em caso de infecção.
Desta forma é possível manter a infraestrutura da organização sem que ela seja totalmente comprometida durante um ataque e perca sua funcionalidade durante aquele período. O diretor completa: "É fundamental que as organizações compreendam as técnicas e as ferramentas utilizadas pelos adversários para proteger seus ativos críticos, e documentar e controlar os fluxos normais de comunicação de suas aplicações para preservar a confiança em sua marca e garantir a continuidade dos negócios".
