O ransomware, um software malicioso que encripta dados valiosos e exige um resgate para a sua libertação, tem uma história notória marcada pela sua evolução, desde atingir indivíduos e consumidores até paralisar organizações e governos inteiros. Ao longo dos anos, os ataques de ransomware tornaram-se mais sofisticados e devastadores – à medida que a tecnologia avançava, o mesmo acontecia com as táticas empregadas pelos cibercriminosos. Eles até começaram a usar táticas de dupla extorsão, onde não apenas criptografam os dados da vítima, mas também ameaçam vazar informações confidenciais, a menos que o resgate seja pago.
O ransomware tem sido a forma de ataque cibernético mais prevalente todos os anos durante a última década, mas os recentes ataques de ransomware atingiram um novo nível, com os atacantes visando infraestruturas críticas e entidades governamentais. O ataque ao Colonial Pipeline nos Estados Unidos em 2021 destacou a vulnerabilidade de sistemas vitais. Causou escassez de combustível e destacou o potencial do ransomware para perturbar serviços essenciais e até mesmo a segurança nacional.
À medida que o ransomware continua a evoluir, representa um desafio significativo para governos, organizações e indivíduos em todo o mundo. Para agravar ainda mais o problema, a execução de ataques de ransomware tornou-se cada vez mais complexa por meio do uso de binários e scripts ““living off the land” (LoLBins). Em outras palavras, usar ferramentas e scripts não maliciosos com intenções maliciosas. Os criminosos dependem fortemente dessas ferramentas para explorar, comunicar, movimentar-se, exfiltrar e impactar as redes de suas vítimas, tornando extremamente difícil para a proteção tradicional de endpoint detectar esse tipo de comportamento.
Em um mundo de ransomware onde o software de segurança tradicional e as proteções clássicas de endpoint não são mais suficientes, nosso objetivo é educar melhor as empresas e organizações sobre como os ataques de ransomware são executados – para discutir como eles podem ser identificados e evitados. A melhor maneira de detectar e bloquear um ataque de ransomware é compreender esse comportamento malicioso e implementar controles de segurança que preparem uma organização para os ataques mais complexos.
A equipe do Trellix Advanced Research Center analisou os TTPs de ransomware mais comuns e o uso da ferramenta LoLbin, encontrados no ano passado. Essencialmente, levantou a maneiracomo os criminosos de ransomware tentam atingir seus objetivos e proporcionou às organizações uma melhor compreensão desses ataques e maneiras de identificá-los e detê-los antes que seja tarde demais.
Enfrentar esta ameaça crescente requer uma defesa multifacetada e uma abordagem aprofundada, envolvendo inteligência contra ameaças, proteção de e-mail, MFA, EDR e XDR para permanecer um passo à frente do cenário de ransomware em constante evolução.
Principais famílias de ransomware no ano passado
Em meio ao aumento alarmante dos ataques de ransomware, o foco muda para a identificação das ameaças mais proeminentes que atingiram efetivamente seus objetivos maliciosos. Neste texto, são explorados cinco exemplos das principais ameaças responsáveis pela condução de atividades destrutivas nos Estados Unidos. Começando com a ameaça mais prevalente e descendo até a menor:
1- LockBit: Em 2022, o LockBit foi uma das variantes de ransomware mais utilizadas em todo o mundo – e permanece com essa posição em 2023. Ficou conhecido pelo horrendo ataque contra o Hospital Francês CHSF. O grupo LockBit opera em um modelo Ransomware como serviço (RaaS), aproveitando afiliados e parceiros que conduzem ataques de ransomware usando ferramentas de malware LockBit e se beneficiam da infraestrutura e experiência do grupo LockBit. Devido a esse modelo RaaS e às diversas preferências e operações das afiliadas, os TTPs específicos usados em ataques de ransomware LockBit podem variar imensamente – tornando-os ainda mais difíceis de defender.
2- ALPHV (BlackCat): O grupo de ransomware ALPHV, também chamado BlackCat, é um player relativamente novo no cenário de ameaças cibernéticas, com atividade observada desde novembro de 2021. Eles têm como alvo principalmente organizações em setores como saúde, finanças, manufatura e governo. O ransomware ALPHV emprega algoritmos de criptografia avançados para criptografar arquivos e exige resgates para sua liberação. Suas táticas incluem campanhas de phishing, kits de exploração e exploração de serviços vulneráveis de área de trabalho remota para obter acesso não autorizado e realizar seus ataques.
3- CL0P:O grupo de ransomware CL0P está em operação desde fevereiro de 2019. Eles são conhecidos por suas técnicas sofisticadas, incluindo uma estratégia de dupla extorsão. CL0P tem como alvo organizações de setores como saúde, educação, finanças e varejo. Além de criptografar arquivos, eles exfiltram dados confidenciais para aumentar a pressão sobre as vítimas pelo pagamento de resgate. Seus métodos de distribuição normalmente envolvem e-mails de phishing e têm sido associados a ataques de ransomware de alto perfil.
4- PYSA (Mespinoza): O grupo de ransomware PYSA, também conhecido como Mespinoza, está ativo desde o início de 2020. Eles têm como alvo principal setores como saúde, educação, governo e manufatura. O ransomware PYSA utiliza técnicas de criptografia fortes para bloquear arquivos e muitas vezes exfiltra dados confidenciais antes da criptografia. Esta abordagem de dupla extorsão acrescenta urgência às negociações de pagamento de resgate. O grupo comumente emprega táticas como campanhas de phishing e exploração de vulnerabilidades para obter acesso não autorizado e realizar seus ataques.
5- BianLian: O grupo de ransomware BianLian, atribuído ao grupo de atores de ameaças WIZARD SPIDER, está em operação desde junho de 2022. Eles têm como alvo organizações em setores como saúde, energia, finanças e tecnologia. BianLian emprega várias táticas, incluindo campanhas de spear-phishing e exploração de vulnerabilidades, para obter acesso não autorizado e criptografar arquivos para resgate. Os seus ataques resultaram em perdas financeiras substanciais e perturbações nas organizações visadas.
Fases de Ataque
Um ataque típico de ransomware compreende sete fases em que um invasor passa da pesquisa passiva ou ativa da rede interna até obter acesso a sistemas importantes e aumentar privilégios para comprometer ainda mais o alvo, roubando dados e informações valiosas, destruindo mecanismos de recuperação de dados, criptografando os dados para que a vítima não possa mais acessá-los e, finalmente, extorquir a vítima por esses dados.
