A utilização do ransomware como forma de sequestro de dados e informações já se tornou a principal ameaça cibernética para empresas em todo o mundo. A crescente dependência de serviços digitais e negócios interconectados, TI e sistemas operacionais levou a uma maior lucratividade do cibercrime e a táticas de malefícios digitais cada vez mais avançadas. No ano passado, por exemplo, com a pandemia da Covid-19, essas ameaças se intensificaram, encorajando grupos a irem além do crime cibernético tradicional e da fraude para usar o ransomware como forma de prejudicar empresas. E, além disso, até mesmo os criminosos menos qualificados passaram a usar tais métodos, o que preocupa toda a comunidade corporativa.
Portanto, o impacto financeiro do ransomware nas empresas pode ser devastador; algumas estimativas colocam o custo anual total de ataques em todo o mundo, incluindo pagamentos de resgate e custos de reparos, em aproximadamente US$170 bilhões. Além disso, o custo médio de um único ataque de ransomware envolve mais prejuízos, como tempo de inatividade operacional, recursos esgotados e fora de hora, pagamentos de resgate, suporte de terceiros e reconstrução do sistema. Ou seja, tudo isso torna esses incidentes muito caros para se remediar.
Em 2020, muitas organizações testemunharam, em primeira mão, os efeitos perturbadores dos incidentes de ransomware. Um dos exemplos mais citados foi um ataque em julho contra a multinacional de tecnologia Garmin, com sede nos Estados Unidos, que não só criptografou os arquivos e sistemas da empresa, mas também roubou seus aplicativos, sites e dados de call centers por vários dias.
E não para por aí: os ataques de ransomware também podem ter consequências cada vez mais sérias no mundo real. Uma paciente alemã morreu em setembro depois que um hospital foi forçado a recusar seu tratamento de emergência devido a um ataque de ransomware em seus sistemas. Embora as agências policiais alemãs tenham descoberto que o ataque não foi diretamente responsável pela morte da paciente, outros casos do tipo são inevitáveis em meio a um ataque crescente às instalações de saúde.
Os grupos de ransomware operam cada vez mais profissionalmente
Alguns dos grupos de ransomware mais, digamos, profissionais começaram a criar modelos de negócios mercantilizando suas ferramentas e franqueando suas empresas criminosas para que outros especialistas em cibercrime comprem seus produtos – grupos que também têm aplicado, cada vez mais, diferentes estratégias para garantir o máximo de interrupção para organizações-alvo e seus clientes, aumentando a probabilidade de as vítimas pagarem resgates. Essas estratégias incluem, portanto, direcionar os setores mais vulneráveis à ruptura.
Vários grupos de ransomware também alavancaram organizações de TI e comunicações como pontos centrais nas redes de seus clientes. Sodinokibi e NetWalker, dois dos mais conhecidos grupos de ransomware que atacam empresas, por exemplo, foram atrás dos provedores de serviços de TI e nuvem aproveitando os riscos de reputação e regulação ao ameaçar vazar dados altamente confidenciais de seus clientes para pedir resgates ainda mais elevados. Ou seja, os operadores de ransomware normalmente realizam ataques altamente direcionados contra um pequeno número de alvos de alto valor, ou visam oportunisticamente uma ampla gama de redes para pedir resgates menores; porém, mais numerosos.
Alguns grupos buscam os dois métodos ou compram acesso a redes já comprometidas por outros criminosos. Além de focar em setores de alto valor percebido, grupos como o agora extinto Maze Team e seu sucessor o Egregor, adotaram um modelo de franquia conhecido como "ransomware como serviço" (RaaS), no qual afiliados com menos capacidade técnica executam ataques em uma porcentagem de receita, enquanto os desenvolvedores de ransomware mais avançados fornecem as ferramentas.
A crescente adoção do modelo RaaS aumenta o número de atores capazes de conduzir operações de ransomware, ao mesmo tempo em que aumenta o impacto que essas operações têm sobre suas vítimas. No próximo ano, os grupos RaaS continuarão a se concentrar no recrutamento de cibercriminosos altamente qualificados, com experiência em violar grandes redes corporativas, para suas operações. Vários grupos de ransomware também estão utilizando maneiras inovadoras de monetizar os dados roubados de suas vítimas, por exemplo, leiloando-os a lances cada vez mais altos.
Ataques estatais na mira do cibercrime
O potencial de ganho financeiro das operações de ransomware vai além do ecossistema empresarial e começou a atrair atores ligados ao estado, muitas vezes chamados de ameaças persistentes avançadas (APTs). Os exemplos incluem até mesmo criminosos norte-coreanos, que são amplamente responsabilizados pelo ataque de ransomware WCry de alto impacto ocorrido em maio de 2017 e que, agora, estão usando uma nova modalidade chamada VHD para criptografar redes corporativas-alvo na Europa. Outros atores, como o grupo estadual APT41, continuarão a usar técnicas de ransomware para monetizar o acesso às redes que se tornam comprometidas durante a atividade de espionagem, por exemplo.
Os atores estaduais também continuarão a alavancar os relacionamentos com os cibercriminosos para cumprir requisitos de relatórios, obtendo dados roubados que sejam relevantes para os objetivos de sua inteligência. Essas sobreposições parecem estar moldando os padrões de alvos de grupos cibercriminosos que se concentram em estados adversários do país anfitrião; por exemplo, uma grande proporção dos ataques continua a ter como foco empreiteiros de defesa, governo e organizações de alta tecnologia nos EUA, Reino Unido e norte da Europa e, também, na América Latina.
Conheça técnicas alternativas ao resgate exigido
Criptografar, roubar e ameaçar vazar dados não é mais o único método de resgate usado por grupos de ransomware. Nos últimos cinco meses, vimos um aumento no ransomware e outros grupos cibercriminosos usando técnicas alternativas de extorsão para forçar as vítimas a pagar, variando entre ataques extorsivos e disruptivos de negação de serviço distribuído (DDoS), ataques extorsivos de apagamento de dados, alegações de reversão de produtos de software, além de leiloar ou vender dados roubados ao maior lance. Vale destacar que os grupos de ransomware podem aplicar todas essas técnicas sem criptografar os dados das vítimas.
O ressurgimento dessas técnicas alternativas mostra que os cibercriminosos estão se tornando cada vez mais agressivos em seus ataques. A expectativa para 2021 é de que os grupos de ransomware continuem explorando métodos novos e cada vez mais perturbadores. Isso quase certamente incluirá o uso de tecnologias emergentes, como deepfakes, que permitirão ainda mais que cibercriminosos menos qualificados exijam dinheiro de empresas, executivos e pessoas.
Desta forma, para os cibercriminosos permanece um equilíbrio constante entre lucro e segurança contra a aplicação da lei e grupos rivais; por outro lado, para as organizações, as medidas de mitigação baseadas em soluções de segurança cibernética proativas e ameaças em cenários de crise de ransomware realistas poderão finalmente impedir que os inúmeros grupos de ransomware, cada vez mais profissionais, forcem as empresas a uma situação em que pagar um resgate pode ser visto como uma opção atraente.
Joseph Buckley, diretor Associado da Control Risks em Londres, responsável por gerenciar ameaças cibernéticas da consultoria em todo o ciclo de vida do processo.
