A Check Point informa dados atualizados sobre as mais recentes tendências de ransomware nos últimos dois, seis e 12 meses no Brasil e no mundo. Globalmente, nos últimos dois meses, o número médio de ataques aumentou 20%. A nível nacional, dados da Check Point Software apontam para um aumento de 6%. Os pesquisadores da divisão CPR destacam como causas do surto a elevada rentabilidade dos ataques e a maior sofisticação das táticas e alvos de ransomware.
Números Brasil
O número médio de ataques de ransomware por semana aumentou:
• 6 % nos últimos dois meses
• 92 % desde o início de 2021
• 102 % nos últimos 12 meses
Números globais
O número médio de ataques de ransomware por semana aumentou:
• 20% nos últimos dois meses
• 41% desde o início de 2021
• 93% nos últimos 12 meses
De acordo com a Check Point Research, a média semanal de ataques de ransomware em maio deste ano aumentou para 1.115, enquanto nesta primeira quinzena de junho já atingiu a quantidade de 1.210 organizações afetadas por ransomware a cada semana.
Por setor – Global
Nos últimos 12 meses, os setores que registraram as maiores subidas do número de ataques ransomware foram:
• Educação (aumento de 347%)
• Transportes (aumento de 186%)
• Varejo/Atacado (aumento de 162%)
• Saúde (aumento de 159%)
Por continente
Nos últimos dois meses, as regiões que assistiram ao maior crescimento do número de tentativas de ataque ransomware foram:
• África (aumento de 38%)
• Europa (aumento de 27%)
• Oriente Médio (aumento de 21%)
• América Latina (aumento de 19%)
• Ásia (aumento de 19%)
Em relação aos últimos seis meses, o panorama altera-se para:
• América Latina (aumento de 62%)
• Europa (aumento de 59%)
• África (aumento de 34%)
• América do Norte (aumento de 32%)
Por que agora?
“O negócio de ransomware está em plena expansão. Estamos vendo um aumento global de ransomware em todas as principais geografias, especialmente nos últimos dois meses. Acreditamos que a tendência é impulsionada por dezenas de novos ‘participantes nesse negócio’, e pode explicar algumas situações. Primeiramente, sabe-se que o modelo de negócio por trás do ransomware é bastante lucrativo e de grande sucesso. Nos noticiários vemos manchetes em torno de pagamentos milionários de resgate, como aconteceu com a US Colonial Pipeline, o que inspira os cibercriminosos a apressarem-se a aderir ao negócio”, avalia Lotem Finkelsteen, head de Inteligência de Ameaças da Check Point Software Technologies.
“Em segundo lugar, os agentes alteraram as suas táticas, priorizando agora a disrupção de infraestruturas críticas. Da JBS à US Colonial Pipeline, os grupos de ransomware estão atacando alguns dos setores mais críticos da sociedade. E em terceiro, os cibercriminosos tornaram-se ainda mais criativos e inovadores em relação às suas táticas de ransomware, introduzindo métodos como a ‘tripla extorsão’, em que os agentes maliciosos não só exigem o pagamento de um resgate, como ameaçam os clientes, usuários e parceiros. Infelizmente, isso deverá piorar, pois não acho que vimos o pico de ataques de ransomware. Os agentes de ameaças por trás do ransomware não estão apenas se tornando maiores, mas também melhores no que fazem”, diz Finkelsteen.
Há cinco caminhos para prevenir o ransomware
1. Backup robusto de dados
O objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. No entanto, isso só é eficaz se o destinatário realmente perder o acesso aos seus dados. Uma solução de backup robusto e seguro de dados é uma maneira eficaz de reduzir o impacto de um ataque de ransomware. Se o backup dos sistemas é feito regularmente, os dados perdidos em um ataque de ransomware devem ser mínimos ou inexistentes. No entanto, é importante garantir que a solução de backup de dados também não possa ser criptografada. Os dados devem ser armazenados em um formato somente leitura para evitar a propagação de ransomware para unidades que contêm dados de recuperação.
2. Patches atualizados
Na época do famoso ataque WannaCry, em maio de 2017, existia um patch para a vulnerabilidade EternalBlue usada por WannaCry. Este patch estava disponível um mês antes do ataque e rotulado como “crítico” devido ao seu alto potencial de exploração. No entanto, muitas organizações e indivíduos não aplicaram o patch a tempo, resultando em um surto de ransomware que infectou mais de 200 mil computadores em três dias. Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
3. Antiransomware
Embora as etapas anteriores de prevenção de ransomware possam ajudar a mitigar a exposição de uma organização a ameaças de ransomware, elas não oferecem uma proteção perfeita. Alguns atacantes de ransomware usam e-mails de spear phishing bem pesquisados e altamente direcionados como vetor de ataque. Esses e-mails podem enganar até mesmo o funcionário mais cuidadoso e atento, fazendo com que o ransomware ganhe acesso aos sistemas internos de uma organização.
A proteção contra esse ransomware que “passa despercebido” requer uma solução de segurança especializada. Para atingir seu objetivo, o ransomware deve realizar certas ações anômalas, como abrir e criptografar um grande número de arquivos. As soluções antiransomware monitoram programas em execução em um computador em busca de comportamentos suspeitos comumente exibidos por ransomware e, se esses comportamentos forem detectados, o programa pode tomar medidas para interromper a criptografia antes que mais danos possam ser causados.
4. Educação
É fundamental treinar os usuários sobre como identificar e evitar possíveis ataques de ransomware. Muitos dos ciberataques atuais começam com um e-mail direcionado que nem mesmo contém malware, mas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso. A educação do usuário costuma a ser considerada uma das defesas mais importantes que uma organização pode implementar.
5. Ataques de ransomware não começam com ransomware
Grupos de ransomware como Ryuk e outros compram bases de infecção em organizações visadas. Os profissionais de segurança devem estar cientes das infecções por malwares Trickbot, Emotet, Dridex e CobaltStrik em suas redes e removê-las usando soluções de threat hunting (busca por intruso ou ameaça), conforme elas abrem a porta para que Ryuk ou outras infecções de ransomware se infiltrem nas organizações.
