Um levantamento feito pela ISH Tecnologia revela que, em 2023, cerca de 1800 empresas de todo o mundo foram vítimas de ataques de ransomware. Somente no mês de junho, aproximadamente 180 companhias foram afetadas.
De acordo com Caique Barqueta, Analista de Malware da ISH, existe a possibilidade de o número ser ainda maior: "é preciso considerar que alguns grupos de cibercriminosos não publicam nos fóruns ou sites clandestinos o nome da organização afetada por seu ataque, o que pode significar que muitas empresas já foram atingidas, mas ainda não foram informadas", afirma.
A maioria dos ataques se origina do modelo RaaS – Ransomware as a Service ("Ransomware como serviço"), no qual o "pacote" para realização do ransomware é vendido clandestinamente, sendo então comprado por grupos que podem realizar ataques sem necessariamente possuírem todo o conhecimento técnico. O relatório também alerta para um preocupante aumento no surgimento desses grupos: somente entre abril e junho, foram 12 novos detectados.
Barqueta diz que, dentre outros fatores, o reaproveitamento de grupos antigos ajuda a explicar o alto número. "É relativamente fácil encontrar na deep e dark web os códigos fontes de ransomwares antigos que não são mais disparados. Muitos grupos então se aproveitam dessas informações, fazendo correções pontuais para então dispararem versões atualizadas e mais perigosas."
Sobre os grupos
O levantamento da ISH traz uma breve descrição dos 12 novos grupos encontrados:
Rorschach: Caracterizado por ter um comportamento de criptografia mais rápido do que outras cepas já conhecidas de ransomwares. Sua análise revelou que não possui indicações de atribuições a outras variantes, bem como não havia marcas ou métodos específicos já conhecidos.
Cactus: Segundo pesquisadores, foi verificado que o Cactus realizava a exploração de vulnerabilidades em produtos de VPN da Fortinet. Estima-se que seu surgimento tenha sido por volta do segundo bimestre de 2023.
Akira: Contabiliza mais de 16 empresas atingidas, e opera de modo muito semelhante a outros grupos.
Rancoz: Possui um código fonte similar ao Ransomware Vice Society. Criptografa e exfiltra arquivos para pagamentos de resgates.
CrypNet: Operação teve início em abril de 2023, sendo ofertado em fóruns clandestinos como RaaS. possui similaridades em suas funções com o código-fonte dos ransomwares Chaos e Yashma.
Darkrace: A análise de sua nota de resgate indica um reaproveitamento de elementos do ransomware LockBit 3.0, que teve seu compilador vazado em setembro de 2020.
MalasLocker: Este grupo tem como característica principal o redirecionamento do valor de resgate dos arquivos para doação de caridades sem fins lucrativos. Os operadores do grupo devem "aprovar" a instituição escolhida, com os dados sendo devolvidos após isso.
8base: Até o momento da elaboração do alerta, não há amostras disponíveis em fontes abertas para análise. Trata-se de um grupo cuja operação já teria afetado empresas brasileiras, com operação idêntica a outros grupos de ransomware.
BlackSuit: Código fonte reutilizado da variante Linux do Ransomware Royal. Assim como os demais, realiza criptografia e exfiltração de dados.
Rhysida: Tem como principal distinção o envio de uma nota de resgate no formato de PDF, semelhante ao antigo ransomware conhecido como Dark Power.
NoEscape: Realiza seu ataque despejando malwares em sites infectados, que então são baixados por usuários.
RA Group: Possui similaridades com o ransomware Babuk, e opera por meio da criptografia e exfiltração de dados.
Vetores de ataque e mitigação
O especialista reforça que boa parte dos incidentes recentes envolvendo ransomwares obtém sucesso devido à exploração de vulnerabilidades nas máquinas. "Muitas dessas vulnerabilidades inclusive já contam com atualizações de correção disponíveis, tornando esse um vetor de ataque que pode ser facilmente coberto com a prática frequente de atualizar softwares e hardwares", analisa. Além dessa exploração, destaca campanhas de phishing e serviços mal configurados como outras duas das principais formas de ataque de criminosos.
Outras medidas que ajudam as empresas a se protegerem contra os mais variados tipos de ataques cibernéticos incluem a conscientização de colaboradores para com e-mails e ligações suspeitas, não realizar o download de arquivos cuja procedência não pode ser verificada, além de adotar programas de antivírus e proteção de perímetro.