Uma das principais ameaças que preocupa a segurança de empresas de todo o mundo é o ransomware. De acordo com dados da ISH Tecnologia, 2021 terminou com um crescimento de 54% desses crimes cibernéticos em relação ao ano interior.
E os ataques ganharam complexidade. Os grupo criminosos atuam de forma semelhante às empresas profissionais. Um exemplo disso é o RaaS – Ransomware as a Service (“Ransomware como serviço”). Na dark web, criminosos vendem kits completos para facilitar o ataque. Com isso, os não precisam nem ser especialistas em crime cibernético. Depois da venda do kit, o grupo que desenvolveu os procedimentos recebe uma porcentagem do valor pago pelo resgate dos dados.
Segundo revela um relatório da ISH, esta tem sido uma tática frequentemente usada pelos principais grupos cibercriminosos do mundo. A empresa cita cinco cuja atuação tem feito vítimas no setor público e privado, em todas as áreas de atuação.
Conti — Apelidado de “maior grupo hacker do mundo”, tem origem russa e atividade baseada em RaaS. Desde 2021, estima-se que o Conti já tenha extorquido mais de 180 milhões de dólares.
Recentemente, o grupo estampou as manchetes por travar uma espécie de guerra com o governo da Costa Rica, atingindo instituições governamentais e pressionando a população local a cobrar do poder público o pagamento do resgate dos dados.
A ISH explica que, além da publicação de dados roubados, também colocam à venda acessos às organizações de vítimas que se recusaram a pagar o resgate.
PYSA — Sigla para Protect Your System Amigo (“Proteja Seu Sistema Amigo”), tem priorizado alvos no Brasil, Argentina, Colômbia e México. O grupo opera uma variante do já conhecido ransomware Mespinoza, e tem colocado em sua mira organizações governamentais, de grande porte e do setor privado.
Também utilizando RaaS, o grupo ficou conhecido pelo tom irônico das mensagens enviadas às vítimas. Oferece três sugestões de como proceder para recuperar os dados, em um pequeno questionário. A última das perguntas é “O que direi ao meu chefe?”, e a resposta, “Proteja Seu Sistema, Amigo”.
Clop (ou Cl0p) — O grupo opera uma evolução da família de ransomware “CryptoMix”, e ganhou fama por comprometer organizações de alto perfil em vários setores. Em 2021, pouco após a prisão de alguns membros em um ataque fracassado na Ucrânia, o grupo ficou alguns meses sem novos ataques registrados.
O retorno se deu em abril deste ano, quando, num único mês, o grupo registrou 21 novas empresas atingidas, atuantes principalmente nos setores de Tecnologia e Indústria.
Hive — Descoberto pela primeira vez em junho de 2021, o Hive se caracteriza por possuir ferramentas de malware desenvolvidas especificamente para criptografar sistemas Linux e FreeBSD. Perícias mostram que, uma vez infiltrado em máquinas, o foco é em desativar sistemas de antivírus para que o “caminho fique livre”.
Atua por meio de RaaS, e tem preocupado um setor em específico: o hospitalar. Mesmo nos períodos mais agudos da pandemia, o grupo ficou marcado por tirar do ar os sistemas de diversas instituições de saúde, dificultando realização de exames e comunicação. Um caso famoso foi o do Memorial Health System, organização estadounidense que administra vários hospitais.
LockBit 2.0 — Seus primeiros registros são do mesmo período do Hive, e tem como uma de suas marcas o recutamento de novos afiliados em fóruns da deep e dark web. Seus operadores também afirmam ter o software de criptografia mais rápido de qualquer linhagem de ransomware.
Os Estados Unidos lideram o ranking de incidentes envolvendo o LockBit, seguidos da Índia e do Brasil. Recentemente, a Secretaria da Fazenda do Rio de Janeiro foi anunciada pelo grupo como uma das vítimas.
