A Check Point Software Technologies publicou o Relatório Global de Ransomware referente ao ano e último trimestre de 2024, enfatizando a crescente sofisticação dos cibercriminosos. O relatório destaca as mudanças significativas no ecossistema de ransomware, incluindo o surgimento de novos grupos de ameaças profissionalizados, suas táticas em evolução e o foco crescente na extorsão de dados.
O cenário do ransomware em 2024 quebrou recordes anteriores e evoluiu em complexidade, consolidando-se como a ameaça cibernética mais predominante para empresas em todo o mundo. Ao longo do ano, os operadores de ransomware realizaram 5.414 ataques publicados, um aumento de 11% em comparação com 2023. Esse crescimento alarmante refletiu não apenas a resiliência dos operadores de ransomware diante da pressão intensificada das forças de segurança, mas também sua capacidade de adaptação, fragmentação e inovação.
Embora o ano de 2024 tenha começado com uma leve queda na atividade de ransomware durante o primeiro trimestre, o segundo e terceiro trimestres apresentaram um aumento constante nos ataques, culminando em um surto dramático no quarto semestre. Com 1.827 incidentes relatados apenas no último trimestre — impressionantes 33% de todos os ataques de ransomware do ano — 2024 terminou como o ano mais ativo já registrado para campanhas de ransomware.
Essa escalada destaca uma mudança crítica no ecossistema de ransomware, impulsionada por ações das forças de segurança, o surgimento de novos atores, metodologias de ataque em evolução e a exploração de tecnologias emergentes.
"As organizações devem reconhecer a sofisticação crescente desses grupos e priorizar a proteção de dados, a detecção de ameaças e estratégias de defesa colaborativa", observa Omer Dembinsky, gerente do Grupo de Pesquisa de Dados na Check Point Research (CPR).
Agências de segurança: impacto nos grupos legados e o surgimento de novos atores ameaçadores
Agências de segurança em todo o mundo lançaram campanhas agressivas contra os principais grupos de ransomware em 2024, alcançando várias vitórias de destaque. Entre elas, destacou-se a Operação Cronos, um esforço internacional coordenado que desferiu um golpe decisivo contra o LockBit, um dos operadores mais notórios de Ransomware-as-a-Service (RaaS).
Operação cronos e seus impactos
Em fevereiro de 2024, a Operação Cronos teve como alvo a infraestrutura do LockBit, resultando em:
- A apreensão de 34 servidores em vários países, incluindo Alemanha, Holanda e Estados Unidos.
- A prisão de operadores-chave na Polônia e Ucrânia.
- A exposição de dados internos do LockBit, incluindo chaves de descriptografia e redes afiliadas, destruindo a confiança dentro do grupo.
De forma semelhante, o ALPHV (BlackCat), outro grande operador, enfrentou interrupções significativas após operações das forças de segurança. Apesar das tentativas de se restabelecer, o grupo sofreu com disputas internas e perda de afiliados. Ao final do ano, tanto o LockBit quanto o ALPHV estavam muito aquém de sua influência anterior, marcando um declínio nos grupos legados.
"A cada ano, o ambiente de ransomware torna-se progressivamente mais complexo. Enquanto as forças de segurança desmontaram com sucesso grandes grupos de RaaS, novos grupos surgiram. Além disso, a mudança da extorsão baseada em criptografia para a extorsão de dados traz novos desafios. No entanto, uma coisa permanece constante: a necessidade de adaptar e aprimorar a proteção de dados, o monitoramento e a rápida detecção de ameaças", pontua Omer Dembinsky.
A ascensão de grupos fragmentados e descentralizados
A queda desses grandes operadores centralizados criou um vácuo rapidamente preenchido por grupos menores, fragmentados e muitas vezes mais ágeis. Em 2024, surgiram 46 novos grupos de ransomware, elevando o número total de grupos ativos para 95, um aumento de 40% em relação aos 68 grupos ativos em 2023. Essa proliferação reflete um ecossistema de ransomware descentralizado, caracterizado por maior competição, inovação e eficiência operacional.
RansomHub
Entre os novos participantes, o RansomHub emergiu como uma força dominante, superando até mesmo o LockBit em atividade. Responsável por 531 ataques em 2024, o RansomHub exemplifica a nova onda de grupos de ransomware que operam com alto grau de profissionalismo e adaptabilidade. Suas principais características incluem:
- Um modelo RaaS oferecendo aos afiliados 90% dos pagamentos de resgate, retendo 10% para os operadores principais.
- Uso de código vazado para desenvolver variantes proprietárias de ransomware, reduzindo a dependência de plataformas RaaS estabelecidas.
- Um modelo operacional descentralizado que o torna mais resiliente a interrupções por forças de segurança.
"O ecossistema de ransomware em 2024 destaca uma tendência dupla: a queda de grupos legados como o LockBit e a ascensão de novos atores profissionalizados, como o RansomHub. A escala, a sofisticação e o volume dos ataques ressaltam a importância de inteligência e defesa proativas. As organizações não podem mais se permitir uma abordagem reativa", explica Adi Bleih, pesquisador de Segurança da divisão Check Point External Risk Management (ex-Cyberint, empresa adquirida em agosto do ano passado).
A mudança para extorsão por vazamento de dados com monetização
Um dos movimentos mais significativos de 2024 foi a transição de ataques de ransomware baseados em criptografia para extorsão por vazamento de dados (DXF – Data Leak Extortion). Tradicionalmente, os operadores de ransomware dependiam da criptografia dos dados das vítimas e exigiam pagamento por chaves de descriptografia. No entanto, essa abordagem tornou-se menos eficaz devido a:
.Melhorias nos sistemas de backup das organizações, reduzindo a dependência de descriptografia.
.Queda nas taxas de pagamento de resgate para ataques baseados em criptografia, que caíram para 32% no terceiro trimestre de 2024 (em comparação com 75% em 2019).
Em contraste, os ataques DXF, que envolvem o roubo de dados confidenciais e a ameaça de exposição a menos que um resgate seja pago, mantiveram uma taxa de resolução constante de 35%. O DXF é menos intensivo em recursos e oferece múltiplas vias de monetização, como a venda de dados roubados para concorrentes ou em mercados da dark web.
Impacto Setorial e Geográfico
Setores alvo
O setor de serviços empresariais permaneceu como o principal alvo, representando 451 ataques em 2024 (24,1% de todos os incidentes). Outros setores altamente visados incluíram:
- Varejo: Sofre devido a seus vastos bancos de dados de clientes e medidas de segurança cibernética relativamente mais fracas.
- Manufatura: Registrou um aumento acentuado no quarto trimestre, com 201 ataques, à medida que operadores de ransomware exploraram a natureza crítica das operações da cadeia de suprimentos.
- Saúde: Continuou a ser alvo devido a dados sensíveis de pacientes e baixa tolerância para interrupções operacionais.
Pontos geográficos críticos
Os Estados Unidos permaneceram como epicentro da atividade de ransomware, com 936 ataques apenas no último trimestre do ano, representando 50% dos incidentes globais em 2024. Outras tendências notáveis incluíram:
- Um aumento nos ataques na Índia, refletindo sua crescente presença digital e vulnerabilidades.
- Reduções na Europa, particularmente na Alemanha, França e Reino Unido, atribuídas a defesas fortalecidas e cooperação entre forças de segurança.
- Presença do Brasil entre os dez países mais atacados no trimestre e no ano.
Recomendações essenciais para as organizações
À medida que as ameaças de ransomware se tornam mais complexas, as organizações devem adotar uma abordagem proativa e em camadas para a cibersegurança. As medidas essenciais incluem:
- Detecção abrangente de ameaças: Implantar soluções que ofereçam visibilidade em tempo real da atividade de rede e das ameaças emergentes.
- Prevenção de vazamento de dados (DLP): Implementar estratégias robustas de DLP para identificar e mitigar tentativas de exfiltração de dados.
- Atualizações regulares: Manter os sistemas atualizados para corrigir vulnerabilidades, especialmente em ambientes Linux e VMware.
- Treinamento de funcionários: Educar a equipe para reconhecer phishing e outros vetores de ataque.
- Defesa colaborativa: Trabalhar com pares do setor e autoridades para compartilhar inteligência e fortalecer as defesas coletivas.
"O sucesso de novos grupos de ransomware demonstra a necessidade urgente de as organizações reforçarem suas defesas. Confiar apenas em medidas reativas não é mais viável. A caça proativa de ameaças, combinada com ferramentas avançadas de gestão de riscos externos, será crucial em 2025", reforça Adi Bleih.