Em apenas alguns anos, a ameaça de ransomware chegou no topo das pautas dos conselhos de administração das empresas, com as implicações financeiras e de reputação dos ataques sendo compartilhadas em tempo real para todo o mundo. O crescimento do ransomware como uma tática do crime cibernético foi um sintoma da profissionalização desses atores, com o surgimento de mercados especializados para atender a cada estágio dos ataques.
Isso inclui algumas etapas evolutivas importantes, como o Ransomware-as-a-Service, que estendeu a ameaça desses "agentes especializados" para qualquer entidade com dinheiro e motivação para pagar pela restauração de seus acessos violados.
Nessa evolução, tornou-se inevitável a profissionalização dos adversários, principalmente quando se trata de encontrar maneiras novas e mais eficientes de extorquir as vítimas. Essa mudança para o armamento de dados mostrou que os cibercriminosos estão indo além do ransomware.
Tradicionalmente, os ataques de ransomware se baseiam na criptografia de dados e na exigência de pagamento pela descriptografia. Agora, os agentes perceberam que a extorsão de dados é mais lucrativa, pois ela não exige técnicas complexas. Com essa nova tática, eles ameaçam divulgar publicamente as informações violadas, aproveitando o medo das empresas de ter danos à sua reputação, e cobram pagamentos em troca.
Esses grupos entendem que as possíveis consequências legais das violações dos dados, bem como as consequências para a reputação das vítimas, podem custar muito mais do que o próprio resgate. A Equipe de Operações de Combate a Adversários da CrowdStrike observou um aumento de 20% no número de adversários que realizam operações de roubo e extorsão de dados sem utilizar ransomware.
Ao mesmo tempo, os atores estão aprimorando as estratégias de obtenção de dados das empresas se passando por usuários legítimos por meio do roubo de credenciais. O relatório CrowdStrike 2023 Threat Hunting Report constatou que 62% das invasões interativas em 2022 envolveram o uso de contas válidas, com um aumento de 160% nas tentativas de coletar senhas, chaves e outras credenciais por meio de APIs de metadados nativos da nuvem.
A falta de proteção aos dados das vítimas facilita essas atividades criminosas, abrindo caminhos para que os agentes lucrem em cima das empresas. Isso é preocupante, principalmente em uma época em que uma violação de dados gera enormes consequências financeiras, legais e de reputação.
Cibercriminosos se aproveitam de leis rígidas para proteção de dados e aumentam a pressão sobre as empresas
Esse "armamento de dados" por parte dos criminosos é ainda mais complicado para as empresas devido às exigências rigorosas de segurança cibernética impostas por governos ocidentais. Em resposta ao aumento das ameaças cibernéticas, as empresas agora estão sujeitas a multas mais elevadas, a serem responsabilizadas pelo ataque e a reportar obrigatoriamente a ocorrência.
Os criminosos cibernéticos entenderam que podem usar a GDPR (na Europa) e a LGPD (Brasil), ou outras leis de privacidade locais, para extorquir empresas que temem pela quebra de confiança do público e o impacto das violações de dados em questões jurídicas e de compliance. Assim, os adversários criam uma situação complexa e ameaçadora, colocando as empresas e o governo em armadilhas, ao mesmo tempo em que exigem que as companhias paguem o resgate dos dados sem gerar alardes.
Tradicionalmente, o cálculo do ransomware era baseado em quanto tempo de inatividade um adversário poderia causar em uma vítima – o raciocínio era que era mais barato para a vítima pagar do que reconstruir os sistemas afetados pelo ataque. No entanto, essa nova estratégia de extorsão de dados inverte essa lógica e passa a se concentrar mais na exposição da empresa aos riscos. Por exemplo, se um adversário rouba milhares de registros de clientes com identificação pessoal de uma empresa, essa empresa enfrenta uma tempestade de litígios, bem como uma reação negativa dos clientes.
À medida que as táticas de extorsão de dados evoluem, as empresas se deparam com dilemas morais, éticos e financeiros. A recomendação do governo de não pagar resgates entra em conflito com as exigências obrigatórias de reportar a violação de dados, deixando as organizações divididas entre a proteção de seus dados e o cumprimento da lei. Independentemente de sua decisão, as consequências de uma violação de dados geralmente são inevitáveis, causando danos imensos à reputação da empresa e levando a perdas financeiras significativas.
Foco numa estratégia de segurança cibernética proativa e colaborativa
É difícil para as empresas assumirem o controle de uma situação em que seus dados foram extorquidos quando precisam equilibrar as necessidades e interesses conflitantes de acionistas, clientes, funcionários e órgãos reguladores. Se a empresa não pagar, os adversários liberarão os dados e, se pagarem, ainda precisarão divulgar a violação. Para evitar impasses como esses, as empresas precisam concentrar seus esforços na segurança cibernética proativa para reduzir os riscos. Isso requer camadas de segurança e colaboração aberta.
O objetivo é aumentar o custo do invasor, adotando uma abordagem de proteção em camadas.Dessa forma, o cibercriminoso terá muito mais trabalho para conseguir o que quer, a ponto de a empresa não ser mais um alvo lucrativo devido à quantidade de obstáculos que ele precisa superar. Embora a ameaça de extorsão de dados nunca desapareça, as empresas devem ter uma atividade proativa que reduza o tamanho do alvo em suas costas, minimizando, assim, o perigo de extorsão de dados.
Paralelamente, um esforço de colaboração entre governos, empresas de segurança cibernética e organizações privadas é vital para criar uma frente unificada contra o crime cibernético. O incentivo ao compartilhamento de informações e à cooperação entre essas entidades aumentará a capacidade coletiva de detectar e responder às ameaças emergentes de forma eficaz.
A captura conjunta do Five Eyes e a divulgação do famoso malware Russian Snake é um exemplo claro de como a colaboração e o compartilhamento de informações podem funcionar para proteger as empresas. A técnica do FSB russo é o tipo de habilidade que as empresas precisam ter para que possam identificar padrões rapidamente e combater as operações de vazamento de dados.
Garantir que sua empresa esteja colocando a proteção de dados proativamente e, ao mesmo tempo, deixar mais cara as atividades de violação dos criminosos cibernéticos é fundamental para ficar à frente das tentativas de extorsão de dados.
Jeferson Propheta, Diretor Regional da CrowdStrike.
CYBER SECURITY FORUM
No dia 3 de outubro a TI Inside realizará no WTC-SP o Cyber security forum, principal evento de cibersegurança do país. O evento contará com os principais especialistas do setor, e com grandes empresas expondo suas soluções. Saiba mais em: https://cybersecurityforum.com.br/
