A equipe de inteligência de ameaças da Palo Alto Networks (Unit 42) e a equipe de resposta a incidentes (The Crypsis Group) formaram uma parceria para criar o Relatório de Ameaças de Ransomware da Unit 42 2021 para fornecer os insights mais recentes sobre as principais variantes de ransomware, tendências de pagamento de ransomware e melhores práticas de segurança para que possamos entender e gerenciar a ameaça.
Para avaliar o estado atual do cenário de ameaças de ransomware, a Unit 42 e a Crypsis colaboraram para analisar o cenário de ameaças de ransomware em 2020, com dados globais da Unit 42, bem como dados dos EUA, Canadá e Europa de Crypsis.
Os cibercriminosos estão ganhando e exigindo mais dinheiro do que nunca
(Dados EUA, Canadá e Europa)
O resgate médio pago por organizações aumentou de US $ 115.123 em 2019 para US $ 312.493 em 2020, um aumento de 171% ano a ano. Além disso, o maior resgate pago por uma organização dobrou de 2019 a 2020, de $ 5 milhões para $ 10 milhões. Enquanto isso, os cibercriminosos estão ficando gananciosos. De 2015 a 2019, a maior demanda de ransomware foi de US $ 15 milhões. Em 2020, a maior demanda de ransomware cresceu para US $ 30 milhões.
É importante ressaltar que os pedidos de resgate do Maze em 2020 foram em média de US $ 4,8 milhões, um aumento significativo em comparação com a média de US $ 847.344 em todas as famílias de ransomware em 2020. Os cibercriminosos sabem que podem ganhar dinheiro com o ransomware e continuam a ser mais ousados com suas demandas.
Organizações de saúde na mira
O mundo mudou com o COVID-19, e os operadores de ransomware aproveitaram a pandemia para atacar as organizações – particularmente o setor de saúde, que era o vertical mais direcionado para o ransomware em 2020. Os operadores de ransomware foram descarados em seus ataques na tentativa de fazer como tanto dinheiro quanto possível, sabendo que as organizações de saúde – que precisavam continuar operando para tratar pacientes COVID-19 e ajudar a salvar vidas – não podiam ter seus sistemas bloqueados e estariam mais propensas a pagar um resgate.
Ryuk ransomware se destacou do pacote. Em outubro de 2020, uma consultoria conjunta de segurança cibernética foi emitida pela Agência de Segurança Cibernética e Infraestrutura (CISA), o Federal Bureau of Investigation (FBI) e o Departamento de Saúde e Serviços Humanos (HHS), alertando as organizações de saúde contra ataques do malware Ryuk.
A ascensão da extorsão dupla
Um ataque de ransomware comum consiste em o operador do ransomware criptografar dados e forçar a vítima a pagar um resgate para desbloqueá-los. Em um caso de extorsão dupla, os operadores de ransomware criptografam e roubam dados para coagir ainda mais a vítima a pagar um resgate. Se a vítima não pagar o resgate, os operadores de ransomware vazam os dados em um site de vazamento ou domínio, com a maioria dos sites de vazamento hospedados na dark web. Esses locais de hospedagem são criados e gerenciados pelos operadores de ransomware. Pelo menos 16 variantes diferentes de ransomware agora ameaçam expor dados ou utilizar sites de vazamento, e mais variantes provavelmente continuarão com essa tendência.
A família de ransomware que mais alavancou essa tática foi o NetWalker. De janeiro de 2020 a janeiro de 2021, o NetWalker vazou dados de 113 organizações de vítimas em todo o mundo, ultrapassando de longe outras famílias de ransomware. RagnarLocker foi o segundo, vazando dados de 26 vítimas em todo o mundo. É importante notar que o Departamento de Justiça dos Estados Unidos anunciou em janeiro de 2021 que havia coordenado ações internacionais para interromper a gangue de ransomware NetWalker. O domínio dark web gerenciado pelos operadores NetWalker, que hospedava dados vazados, não está mais acessível.
Etapas para reduzir a exposição ao ransomware
A defesa contra ataques de ransomware é semelhante à proteção contra outro malware. No entanto, representa um risco muito maior para a organização.
Acesso Inicial
O acesso inicial é relativamente consistente em todas as variantes de ransomware. As organizações devem manter a conscientização do usuário e o treinamento para segurança de e-mail, bem como considerar maneiras de identificar e corrigir e-mails maliciosos assim que eles entrarem na caixa de correio de um funcionário. As organizações também devem garantir o gerenciamento adequado de patches e revisar quais serviços podem ser expostos à Internet. Os serviços de área de trabalho remota devem ser configurados e protegidos corretamente, usando o princípio do menor privilégio sempre que possível, com uma política em vigor para detectar padrões associados a ataques de força bruta.
Processo de backup e recuperação
As organizações devem continuar a fazer backup de seus dados e manter um processo de recuperação apropriado em vigor. Os operadores de ransomware direcionarão os backups locais para criptografia, portanto, as organizações devem garantir que todos os backups sejam mantidos offline com segurança. Os processos de recuperação devem ser implementados e ensaiados com as partes interessadas essenciais para minimizar o tempo de inatividade e os custos para a organização no caso de um ataque de ransomware.
Controles de Segurança
As formas mais eficazes de proteção contra ransomware são segurança de endpoint, filtragem de URL ou proteção da web, prevenção avançada de ameaças (ameaças desconhecidas / sandboxing) e soluções anti-phishing implantadas em todos os ambientes e dispositivos corporativos. Embora isso não garanta a prevenção total, eles reduzirão drasticamente o risco de infecção de variantes comuns e fornecerão medidas provisórias, permitindo que uma tecnologia ofereça uma linha de fiscalização quando outra pode não ser eficaz.
