A Kaspersky bloqueou, de janeiro a maio de 2022, uma média de 11 mil ataques de ransomware por dia ao redor do mundo. No mapa de localização das tentativas de ataques, o Brasil está no segundo grupo (com 5.600 a 13 mil usúarios afetados) mais afetado, atrás apenas de Rússia e Irã. A análise mostra ainda que esses grupos especializados estão usando ferramentas como CobaltStrike, Metasploit e outras para realizar as infecções — programas usados pelos times de segurança (Red Teaming) para avaliar o nível de proteção da empresa.
Para entender melhor a relevância da informação, é importante saber que um ataque de ransomware tem algumas etapas. A primeira é o estudo da vítima (potencial em pagar o resgate e o valor potencial para ele) e a entrada do criminoso na rede corporativa da vítima — além do reconhecimento do “terreno” (localização dos ativos — informações confidenciais).
Depois, o cibercriminoso se move na rede, buscando garantir permissões de administrador para realizar o roubo dos dados e poder executar o comando de bloqueio de maneira automatizada em todas as máquinas. Após a conclusão da copia dos dados, é feito o bloqueio das informações na rede da vítima — o que paraliza a operação da organização — e a mensagem de resgate é apresentada.
A novidade nesse processo é que os grupos especializados em ransomware estão usando os própios programas de red teaming das vítimas para garantir os acessos privilegiados e realizar o roubo das informações. Os Red Teaming são funcionários da empresa que trabalham na área de segurança e tem a função de avaliar a eficácia da segurança corporativa, realizando tentativas de invasão para isso, como testes de penetração (pentesters).
“O uso dessas ferramentas em ataques cibernéticos é uma tendência, pois a atividade maliciosa não é detectada por algumas soluções de segurança. O fato de programas de invasão pertencerem a empresa-vítima apenas adiciona maior complexidade ao ataque, pois é possível interpretar uma atividade como um “teste prático”. Esse detalhe mostra que uma segurança de qualidade é muito mais que a instalação de um programa. É necessário unir esforços humanos e ter processos claros para garantir que uma atividade maliciosa difarçada com certa legitimidade não será um risco para a operação das empresas”, explica Fabio Assolini, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina.
Para evitar este tipo de ataque, os especialistas da Kaspersky oferecem as seguintes recomendações:
• Ransomware não deve ser medido pelo número de ataques, mas pelo impacto que causa. Ao trabalhar em um modelo de ameaça, esse é o principal fator a ser considerado, e não a probabilidade de ser atacado;
• Para criar um modelo de proteção eficaz, é necessário focar nos estágios de detecção precoce. Por exemplo, a exploração de vulnerabilidades de rede, movimentos laterais e exfiltração de dados;
• Recomenda-se que todos possam trabalhar em diferentes PlayBooks ou ter um plano de ação ou estratégia para cada operador de Ransomware;
• Por fim, os exercícios de Purple Teaming, (metodologia em que as equipes de ataque (Red Team) e defesa (Blue Team) de uma empresa trabalham juntos e compartilham conhecimento para maximizar os recursos de defesa cibernética) podem ajudar as empresas a medir seus verdadeiros recursos de detecção.
