Ransomware: o resgate exigido pelos hackers aumentou 14 vezes

O ransomware tornou-se uma das amea├žas mais insidiosas nos ├║ltimos dois anos, com os hackers aumentando sua atividade at├ę o ponto em que a demanda m├ędia de resgate aumentou mais de 10 vezes em um ano.

ransomware

Existem mais de doze operadores no jogo de ransomware como servi├žo (RaaS), cada um com v├írios parceiros focados em objetivos corporativos em todo o mundo.

Como a famosa equipe do GandCrab anunciou que vai parar em meados de 2019, o cen├írio do ransomware mudou drasticamente. O modelo RaaS que eles introduziram agora ├ę a norma, abrindo caminho para invasores profissionais com uma estrat├ęgia clara de ganhar dinheiro.

Grandes saltos na demanda por resgate

A evolu├ž├úo anual da amea├ža de ransomware ├ę vis├şvel do ponto de vista da demanda de resgate, bem como das t├íticas, t├ęcnicas e procedimentos (TTP) usados ÔÇőÔÇőpelos invasores que executam opera├ž├Áes de ransomware de grande porte.

Em um relat├│rio publicado hoje, o Grupo-IB de seguran├ža cibern├ętica analisou como essa amea├ža mudou em apenas um ano a partir de 2018. Eles adotaram uma ampla gama de organismos de acesso originais, aumentaram os requisitos de resgate e come├žaram a roubar arquivos das v├ştimas antes de criptografar para impor pagamento ├á sua maneira.

De acordo com o relat├│rio, os ataques de ransomware em 2019 aumentaram 40% e o foco em metas maiores levou o pre├žo do resgate de US $ 6.000 para US $ 84.000, com as fam├şlias Ryuk e REvil (Sodin, Sodinokibi) entre as mais gananciosas. .

No entanto, em 2020, o pre├žo aumentou ainda mais. Dados da Coveware, empresa que lida com incidentes de ransomware, mostram que a m├ędia aumentou ainda mais no primeiro trimestre do ano, para US $ 111.605. Ryuk e REvil continuam sendo respons├íveis ÔÇőÔÇőpor esse aumento no pre├žo do resgate.

T├íticas, t├ęcnicas e procedimentos

Entre as t├ęcnicas de invas├úo mais comuns detectadas est├úo o comprometimento por meio de kits de explora├ž├úo (EKs), servi├žos remotos externos (principalmente RDP) e spear phishing estavam no topo da lista.

Na confer├¬ncia de seguran├ža da RSA em fevereiro, o FBI tamb├ęm disse que o RDP ├ę o m├ętodo mais comum usado pelos fornecedores de ransomware para acessar as redes das v├ştimas.

Os provedores de ransomware mais avan├žados contavam com m├ętodos que lhes davam acesso a alvos mais valiosos: comprometimento da cadeia de suprimentos, aplica├ž├úo de vulnerabilidades desequilibradas nos aplicativos ou comprometimento dos MSPs (gerenciadores de servi├žos).

A partir da├ş, os atacantes usaram suas ferramentas e passaram para os pr├│ximos est├ígios, estabelecendo persist├¬ncia, escalando privil├ęgios (se necess├írio), evitando defesas, adquirindo credenciais de mapeamento de rede, passando para computadores centrais valiosos, roubando arquivos e assim por diante.

Roubo> criptografia> vazamento

Embora as t├ęcnicas de invas├úo n├úo tenham mudado muito desde 2019, a lista de operadores de ransomware aumentou bastante e alguns deles mudaram para novos nomes:

  • JSWorm tornou-se Nemty em agosto de 2019
  • Mailto se tornou um Netwalker em fevereiro de 2020
  • Cryakl agora ├ę CryLock
  • PwndLcker foi renomeado para ProLock em mar├žo de 2020
  • Al├ęm do acima, alguns come├žaram a vazar arquivos que foram roubados das v├ştimas, a menos que tenham recebido o resgate que pediram. Essa tend├¬ncia come├žou no Maze em novembro de 2019, quando os dados foram publicados pela Allied Universal.

    Atualmente, 12 operadores de ransomware t├¬m vazamentos onde publicam dados roubados de v├ştimas, enquanto outros usam f├│runs de hackers para compartilhar links de download.

    Parte do resgate exigido pelos atacantes ├ę realmente impressionante. O REvil, por exemplo, pediu US $ 21 milh├Áes a uma v├ştima ou publicar├í dados sobre os clientes da empresa, a maioria dos quais s├úo grandes nomes da ind├║stria do entretenimento.

    O Ako ransomware, que tamb├ęm rouba dados das v├ştimas, encontrou uma maneira de aumentar seus lucros pedindo dois resgates: um para descriptografar arquivos e outro por n├úo publicar arquivos roubados.

    A demanda de resgate de US $ 1 milh├úo ou mais n├úo ├ę mais incomum, pois os fatores de amea├ža ajustam seus pre├žos de acordo com a renda da organiza├ž├úo violada e o n├║mero de computadores bloqueados.

    O ano passado foi extremamente lucrativo para os invasores de ransomware, mas com os pre├žos que vimos recentemente, 2020 provavelmente o superar├í, j├í que os hackers continuam alvejando grandes empresas nos principais setores.