| agosto 26, 2024
Análise do ransomware RaaS moderno e do seu funcionamento
Imagine acordar com um ecrã bloqueado e a pedir um resgate, conhecemos de perto a devastação que provoca.
Escrito por: SealPath
Partilhe em
- Imagine acordar com um ecrã bloqueado e a pedir um resgate, conhecemos de perto a devastação que provoca. Empresas paralisadas, momentos de stress: nenhuma organização está imune. Vamos mergulhar no submundo digital do ransomware em 2024, aprender como estes cibercriminosos operam e armarmo-nos com os conhecimentos necessários para nos protegermos.
1. Compreender o ransomware moderno
O ransomware, software malicioso concebido para bloquear o acesso a um sistema informático até ao pagamento de uma quantia em dinheiro, tem vindo a assolar o mundo digital há anos. As suas origens remontam ao final da década de 1980, mas só em meados da década de 2000 é que se tornou uma ameaça proeminente. Em 2024, o ransomware evoluiu para um ataque altamente sofisticado, tirando partido de ferramentas de encriptação e anonimização para atacar tanto indivíduos como organizações. Como continua a adaptar-se, compreender a sua mecânica é crucial para uma defesa eficaz.
1.1 Evolução do ransomware até 2024
- 1989: The AIDS Trojan - Considerado o primeiro ransomware, encriptava os nomes dos ficheiros no computador da vítima, exigindo um pagamento para os recuperar.
- 2005-2006: Gpcode, TROJ.RANSOM.A, Archiveus - Os primeiros exemplos que encriptavam ficheiros, mostrando uma abordagem mais direta para extorquir dinheiro aos utilizadores.
- 2013: Cryptolocker - Um divisor de águas na história do ransomware, o Cryptolocker utilizava métodos de encriptação fortes que tornavam impossível desencriptar ficheiros sem uma chave, espalhando-se através de anexos de correio eletrónico. Encriptação de ficheiros em pequena escala, para indivíduos.
- 2017: WannaCry - famoso por explorar vulnerabilidades do Windows, afetou milhares de computadores em todo o mundo, incluindo perturbações significativas nos serviços de saúde. Os ataques direcionados centraram-se em organizações que procuram restaurar as operações.
- 2019: Maze - O Maze não só encriptou ficheiros, como também roubou dados, ameaçando libertá-los a menos que fosse pago um resgate, introduzindo a dupla extorsão e a utilização de uma tática de fuga pública.
- 2020-2021: REvil/Sodinokibi - Conhecido por ataques de grande visibilidade e pedidos de resgate na ordem dos milhões, o REvil afectou grandes empresas, explorando vulnerabilidades nas cadeias de fornecimento de software.
- 2022-2023: LockBit - Um ransomware-as-a-service (RaaS) que permite que os afiliados implementem ataques, enfatizando a tendência para a comercialização de ransomware. O LockBit automatiza a remoção de dados, aumentando a pressão sobre as vítimas.
- 2024: Surgimento de ransomware alimentado por IA - Os ataques de ransomware tornam-se mais sofisticados com a IA, personalizando os ataques com base nos dados das vítimas, tornando a prevenção e a resposta mais difíceis.
1.2 O impacto do ransomware continua a crescer: algumas estatísticas
Vejamos o impacto crescente do ransomware com algumas estatísticas:
- Ao longo de 2023, os incidentes de ransomware aumentaram 20%, com tentativas que atingiram uns impressionantes 7,6 biliões, de acordo com o Relatório de Ameaças Cibernéticas da SonicWall.
- Os ataques globais de ransomware totalizaram 317,59 milhões de casos em 2023, de acordo com dados do Statista.
- Uma esmagadora 83% das vítimas de ransomware capitularam pagando ao hacker, mais de 50% pagaram pelo menos US $ 100.000, documentou Splunk.
- O escalão de pagamento mais comum nas resoluções de ransomware foi entre 25 000 e 99 999 dólares, representando 44% de todos esses pagamentos, de acordo com a Splunk.
- As violações de dados atingiram novos máximos em 2023, com o incidente médio custando um recorde de US $ 4,45 milhões, de acordo com dados da IBM.
- Do primeiro ao segundo trimestre de 2023, o pagamento de resgate padrão mais do que dobrou, passando de aproximadamente US$ 328.000 para mais de US$ 740.000, conforme observado pelo Statista.
- Na sequência de ataques de ransomware, 32% das vítimas não só tiveram os seus dados sequestrados, como também foram roubados, de acordo com os dados registados pela Sophos.
- De acordo com a Sophos, 70% dos ataques de ransomware terminaram com os atacantes a encriptar com sucesso os dados das vítimas.
- O pedido de resgate inicial médio foi de 2,0 milhões de dólares, documentou a Sophos.
- Os custos associados à recuperação de ataques de ransomware foram, em média, de 2,73 milhões de dólares, de acordo com os dados da Sophos.
- Entre o 1º trimestre de 2023 e o 1º trimestre de 2024, foi observada uma expansão impressionante de 55% dos grupos de ransomware ativos, saltando de 29 para 45 grupos distintos, de acordo com o Relatório GRIT de Ransomware do 1º trimestre de 2024 da GuidePoint Security.
- Em linha com um aumento de 68% nos casos de ransomware durante 2023, houve também um aumento significativo no resgate médio exigido. A LockBit estabeleceu um recorde com um pedido de resgate de 80 milhões de dólares depois de violar o Royal Mail, conforme detalhado pela Malwarebytes no seu relatório 2024 ThreatDown State of Malware.
2. O ransomware da actualidade
2024 assistiu à chegada de variantes de ransomware mais especializadas. Os RansomOps representam uma abordagem mais complexa, envolvendo campanhas orquestradas que visam organizações específicas para obter o máximo de perturbação e ganho financeiro. Um fator crítico para o crescimento deste ecossistema é o surgimento dos Initial Access Brokers (IABs), especializados em violar e infiltrar-se em redes empresariais, apenas para vender este acesso não autorizado a operadores de ransomware com ofertas elevadas. Esta divisão do trabalho demonstra uma mudança para operações mais organizadas entre os cibercriminosos, que se assemelham às redes criminosas tradicionais na sua estrutura e eficácia.
Uma tendência significativa é a proliferação do ransomware-as-a-service (RaaS), uma preocupante democratização do cibercrime. Este modelo permite que mesmo as pessoas com conhecimentos técnicos mínimos lancem ataques de ransomware, tirando partido da infraestrutura, do software e do apoio fornecidos por hackers experientes em troca de uma parte das receitas do resgate. A especialização e a segmentação de funções no ecossistema do ransomware, evidenciadas pelo aparecimento de funções especializadas, como os IAB e a disseminação de plataformas RaaS, realçam uma mudança preocupante. Os cibercriminosos já não são lobos solitários ou grupos isolados, mas sim parte de uma indústria altamente organizada e orientada para os serviços, cujo objetivo é maximizar os lucros das suas actividades ilícitas com um nível perturbador de profissionalismo e eficiência.
3. O modelo RaaS
Como já referimos, este modelo está perfeitamente organizado e cada agente da cadeia desempenha funções específicas.
Vamos dar uma olhadela a cada um deles:
- Grupos RaaS: Os arquitectos do modelo RaaS, estes grupos concebem, desenvolvem e mantêm o ransomware. O seu papel é inovar a criação de ransomware, garantindo que este se mantém inalcançável e eficaz. Fornecem a infraestrutura para campanhas de ransomware, incluindo gateways de pagamento e serviços comerciais. Os grupos RaaS comercializam os seus serviços na dark web, oferecendo as suas ferramentas a afiliados em troca de uma taxa ou de uma parte do resgate.
- Corretores de acesso inicial (IABs): são cibercriminosos especializados que se concentram em obter acesso não autorizado a redes empresariais. Os IABs utilizam vários métodos, como a exploração de vulnerabilidades, ataques de phishing ou a utilização de credenciais roubadas para se infiltrarem nos sistemas. Depois de obterem acesso, vendem-no a quem der mais dinheiro nos mercados da dark web. Os seus serviços são cruciais para grupos RaaS e afiliados que precisam de um ponto de entrada na rede de um alvo.
- Afiliados: Os clientes, ou “franchisados” dos grupos RaaS, alugam as ferramentas de ransomware para lançar ataques. Os afiliados são responsáveis pela escolha dos alvos, pela execução do ataque de ransomware e, por vezes, pela gestão do processo de extorsão. Em troca da utilização da plataforma RaaS, partilham uma parte dos seus lucros com os grupos RaaS. Os afiliados variam em termos de sofisticação, desde cibercriminosos oportunistas a grupos de crime organizado.
- Mercados da Dark Web: As montras digitais do mundo do cibercrime. Estes mercados operam nas partes ocultas da Internet e oferecem uma grande variedade de bens e serviços ilegais. No domínio do RaaS, os mercados da dark web facilitam o comércio de credenciais roubadas, serviços de intermediação de acesso, ferramentas de pirataria informática e as próprias plataformas RaaS. Estes mercados são a espinha dorsal do ecossistema RaaS, ligando compradores e vendedores de forma anónima.
- Ladrões de credenciais: Especialistas na aquisição de credenciais de acesso não autorizadas. Estes indivíduos ou grupos utilizam técnicas como o phishing, o keylogging ou a exploração de vulnerabilidades do sistema para roubar nomes de utilizador, palavras-passe e outros dados de autenticação. Os seus bens roubados são depois vendidos em mercados da dark web a quem der mais, tornando-se muitas vezes o ponto de partida para outros ataques de IABs e afiliados de RaaS.
- Programadores de ferramentas de pirataria informática: Inovadores e fornecedores do mundo do cibercrime, estes programadores criam e vendem ferramentas de software concebidas para explorar vulnerabilidades, efetuar inspeções ou facilitar o acesso não autorizado a sistemas. Os seus produtos são cruciais para que os IAB e os seus afiliados consigam efetuar violações e manter o acesso às redes das vítimas.
- Branqueamento de criptomoedas: facilitadores de transações financeiras que sustentam o ecossistema RaaS. Dada a dependência da criptomoeda para os pagamentos de resgates, os branqueadores de capitais especializam-se em ofuscar as origens dos ganhos ilícitos. Utilizam técnicas como a “mistura” ou a “inversão” para limpar a criptomoeda, dificultando o rastreio das atividades criminosas. Este serviço garante que os grupos RaaS, afiliados e outros cibercriminosos possam utilizar os seus lucros sem serem facilmente detetados pelas autoridades policiais.
Em conjunto, estes atores formam uma rede complexa e altamente organizada que apoia a proliferação do modelo RaaS. Cada um deles desempenha um papel específico para garantir o sucesso e a sustentabilidade das campanhas de ransomware, desde o acesso inicial até à monetização do ataque.
4. Como é que as organizações selecionam?
Os ataques já não são tão aleatórios como no passado, agora escolhem as suas vítimas com muito cuidado e analisam-nas cuidadosamente de modo a maximizar o retorno do investimento do ataque:
- Rendimento potencial: O principal motivador para atacar uma organização específica é o rendimento potencial que dela se pode extrair. Os cibercriminosos estudam meticulosamente os seus alvos, avaliando os fluxos de receitas da organização, a sua saúde financeira e o valor percebido dos seus dados armazenados. As empresas com receitas elevadas são especialmente atrativas porque são mais propensas a pagar um resgate substancial para recuperar os seus dados ou evitar potenciais danos à sua reputação. O cálculo inclui a avaliação da informação financeira publicamente disponível, o setor em que operam e quaisquer casos anteriores de pagamentos de resgate. As organizações consideradas como tendo uma forte capacidade financeira ou que operam em setores críticos para os dados são colocadas no topo da lista de alvos.
- Setores fracos e facilidade de acesso: As vulnerabilidades presentes em determinados setores tornam-nos mais atrativos para os cibercriminosos. As indústrias que são mal regulamentadas em termos de cibersegurança, retardatárias na literacia digital ou setores onde a infraestrutura de TI é conhecida por estar desatualizada são os principais alvos. Isto inclui cuidados de saúde, educação e pequenas e médias empresas (PME) em vários domínios. A facilidade de acesso é crucial; Os setores conhecidos por práticas de segurança fracas, como a encriptação deficiente, a falta de monitorização da rede ou a baixa sensibilização dos colaboradores para a cibersegurança, estarão provavelmente no topo da lista de alvos. O raciocínio é simples: quanto mais fácil for penetrar nas defesas de uma organização, menor será o custo e o esforço necessários para executar um ataque bem-sucedido.
- Medidas defensivas e capacidade de resposta: Para além das potenciais receitas e vulnerabilidades, os atacantes avaliam a postura defensiva de uma organização. Isto inclui a sofisticação das suas medidas de cibersegurança, a capacidade das suas equipas de TI e de segurança e a sua preparação para um ataque. As organizações que não possuem uma estrutura de cibersegurança robusta, que não realizam auditorias de segurança regulares ou que não investem na formação dos seus colaboradores sobre phishing e outros vetores de ataque comuns representam um desafio menor para os cibercriminosos. Além disso, as entidades que não possuem um plano claro de resposta a incidentes são consideradas alvos mais rentáveis, uma vez que provavelmente demorarão mais tempo a detetar e a responder a um ataque, o que aumenta as hipóteses de sucesso dos atacantes e pode levar a um pagamento de resgate maior.
Em suma, os cibercriminosos empregam uma abordagem estratégica na seleção dos seus alvos, priorizando organizações com perspetivas financeiras promissoras, vulnerabilidades conhecidas e capacidades defensivas mais fracas. Estes critérios maximizam o ROI dos atacantes, visando entidades com maior probabilidade de pagar resgates e nas quais podem penetrar com relativa facilidade.
5. A sua infraestrutura da dark web
Na dark web, utilizam diferentes mercados, sites e plataformas para realizar as suas operações:
- Mercados: A dark web acolhe uma variedade de mercados especializados que operam de forma semelhante às plataformas convencionais de comércio eletrónico, mas são utilizados para fins ilícitos. Estes mercados são essenciais para a troca de ferramentas de hacking, acesso a redes empresariais e dados roubados. Os cibercriminosos aproveitam estas plataformas para recrutar afiliados, vender software malicioso e até comprar vulnerabilidades e credenciais de acesso para os ajudar nos seus ataques. Uma característica notável destes mercados é a sua organização, com artigos meticulosamente categorizados, espelhando mercados online legítimos. Por exemplo, plataformas como a AlphaBay são conhecidas por alojar milhares de listagens que oferecem desde explorações zero-Day até acesso a sistemas comprometidos, facilmente geridos para facilitar as transações.
- Plataformas: Além dos mercados, a dark web aloja diversas plataformas concebidas para atividades específicas relacionadas com o cibercrime. Estes incluem fóruns para partilha de conhecimentos e ferramentas, serviços de chat privados para comunicação entre intervenientes e quadros de avisos para anúncios ou apelos à participação em ataques de grande escala. Estas plataformas servem de base para a comunidade cibercriminosa, proporcionando espaços de colaboração, troca de assessoria técnica e formação de alianças. Permitem que os cibercriminosos se mantenham atualizados sobre as mais recentes técnicas de hacking, partilhem estratégias bem-sucedidas e até recrutem talentos para operações futuras. O ambiente colaborativo promove um ecossistema no qual o conhecimento e os recursos são partilhados livremente, melhorando as capacidades dos intervenientes individuais e dos grupos.
- Sites: os sites dedicados na dark web oferecem vários serviços diretamente relacionados com as atividades de cibercrime. Isto inclui sites de “ransomware como serviço” (RaaS), onde os indivíduos podem alugar ransomware para lançar as suas campanhas, e “sites de fuga” onde os cibercriminosos publicam dados roubados das suas vítimas. Estes sites iniciam frequentemente contagens decrescentes e exibem listas de empresas que foram comprometidas, mas que ainda não cumpriram os pedidos de resgate, aumentando a pressão sobre as vítimas para que paguem. A presença destes websites significa uma abordagem estruturada e profissional ao cibercrime, com serviços e funcionalidades concebidas para maximizar o impacto e os benefícios. Utilizar estes sites para anunciar ataques bem-sucedidos não serve apenas como meio de extorquir as vítimas, mas também como ferramenta de marketing para atrair novos clientes e afiliados, demonstrando capacidade e sucesso.
A infraestrutura da dark web constitui a espinha dorsal do cibercrime moderno, fornecendo as ferramentas, plataformas e serviços necessários que facilitam a execução de ataques sofisticados.
6. Dupla extorsão
A dupla extorsão é uma evolução na metodologia de ciberataque, que aumenta significativamente os potenciais danos e os incentivos para que as vítimas cumpram os pedidos de resgate. Esta tática envolve não só a encriptação de dados e a exigência de um resgate pela desencriptação, mas também a remoção de dados sensíveis com ameaças de divulgação pública, a menos que seja pago um resgate adicional. Daí a importância de conhecer as diferentes classificações de dados sensíveis e saber quais delas trata a sua organização. Esta abordagem agrava as potenciais consequências para as vítimas, introduzindo danos na reputação, sanções e perdas financeiras muito para além dos impactos operacionais imediatos.
Vamos ver qual o impacto que isto tem em detalhe:
- Danos na reputação: A ameaça de tornar públicas informações confidenciais pode causar graves danos à reputação das organizações afetadas. Para as empresas, a divulgação de informações confidenciais, dados de clientes ou comunicações embaraçosas pode prejudicar a confiança dos clientes, parceiros e do público. Os danos a longo prazo na imagem da marca de uma organização e na lealdade dos clientes podem muitas vezes superar os custos financeiros imediatos do resgate. Para as instituições públicas, a exposição de dados sensíveis dos cidadãos mina a confiança pública e pode ter ramificações políticas significativas.
- Sanções: Para além dos danos na reputação, a divulgação não autorizada de dados confidenciais pode levar a sanções legais significativas. As organizações que não protegem os dados dos seus clientes podem violar os regulamentos de proteção de dados, como a Lei do RGPD, a DORA e a Diretiva NIS2 na Europa ou outras leis de privacidade em todo o mundo. Estas regulamentações podem impor multas pesadas, dependendo muitas vezes da gravidade e do âmbito da violação de dados. As sanções podem ir além dos danos financeiros e incluir medidas corretivas obrigatórias e auditorias contínuas, impondo mais tensões operacionais à organização vítima.
- Perdas económicas: O impacto económico da dupla extorsão vai para além dos resgates pagos. As organizações enfrentam interrupções operacionais, custos associados à recuperação e investigação de violações de dados, aumento dos prémios de seguro e potenciais custos legais resultantes de ações judiciais intentadas pelas partes afetadas. O efeito cumulativo destas despesas, juntamente com a potencial perda de negócio durante a recuperação e devido a danos na reputação, pode chegar aos milhões, paralisando financeiramente uma organização. O risco de perdas financeiras tão substanciais pressiona as vítimas a pagarem resgates, mesmo quando existem cópias de segurança, uma vez que os custos e as implicações da exposição de dados excedem frequentemente o montante do resgate. Saiba como calcular o custo de uma violação de dados aqui.
Esta abordagem revelou-se muito eficaz, tornando-se uma tática favorita entre os cibercriminosos. As implicações da dupla extorsão vão muito para além dos efeitos imediatos dos ataques tradicionais de ransomware, representando uma ameaça multifacetada para as organizações de todo o mundo.
7.º Até uma tripla extorsão
A extorsão tripla aumenta a complexidade e o potencial dano de um ciberataque, acrescentando outra camada de ameaça à já devastadora extorsão dupla. Neste esquema, os atacantes combinam as ameaças de encriptação de dados, remoção de dados e repercussões de terceiros com ataques direcionados de negação de serviço distribuída (DDoS). Estas triplas ciberameaças aumentam a pressão sobre a organização vítima para pagar o resgate e aumentam o impacto global do ataque.
Vamos dar uma vista de olhos mais de perto:
- Ataques DDoS: Depois de encriptar os dados e ameaçar a sua divulgação, os cibercriminosos lançam ataques DDoS para amplificar a urgência e os danos. Ao sobrecarregar a rede da vítima com uma inundação de tráfego, o ataque DDoS pode paralisar as operações, impossibilitando a realização de negócios online. Estes ataques servem para reforçar a mensagem dos atacantes: pagar o resgate ou enfrentar perturbações contínuas e crescentes.
- Ataques a terceiros: O cerne da tripla extorsão reside na expansão das ameaças para incluir a rede de terceiros da vítima: clientes, parceiros e fornecedores. Os cibercriminosos podem ameaçar divulgar dados roubados que possam incriminar ou prejudicar esses terceiros ou até mesmo atacar diretamente os seus sistemas. Esta expansão da superfície de ataque obriga a vítima a considerar a segurança do ecossistema mais vasto e aumenta a probabilidade de pagar um resgate para evitar danos colaterais.
O impacto generalizado da tripla extorsão é profundo. É este alcance alargado e esta pressão multiplicada que caracteriza a sinistra eficácia da tripla extorsão.
8.º E extorsão quádrupla!
A extorsão quádrupla acrescenta uma quarta camada de pressão e complexidade às já sofisticadas estratégias de ciberataque que abrangem as táticas de extorsão dupla e tripla. Este método avançado combina a encriptação de dados, o roubo de dados e as ameaças de ataques DDoS com táticas direcionadas, concebidas para alavancar a pressão social contra a vítima. Isto inclui notificações de terceiros e ameaças públicas, amplificando significativamente o impacto psicológico do ataque e o potencial de danos para a reputação.
Estas são as suas táticas:
- Pressão social: Os cibercriminosos utilizam a pressão social como uma ferramenta fundamental na extorsão quádrupla, com o objetivo de minar a posição da vítima contra o pagamento do resgate. Ao envergonhar publicamente a organização vítima pela sua alegada negligência ou irresponsabilidade no tratamento do ataque, especialmente no que diz respeito a potenciais danos a clientes, fornecedores e parceiros terceiros, os atacantes procuram criar um clamor público. Este clamor pode pressionar as organizações a pagar o resgate para mitigar maiores danos à sua reputação e demonstrar o seu compromisso com o bem-estar das partes interessadas.
- Notificações de terceiros: indo além das meras ameaças de afetar terceiros, a extorsão quádrupla envolve notificações diretas a essas partes. Os atacantes podem contactar clientes, parceiros e fornecedores para os informar sobre a “irresponsabilidade” da organização vítima ao não proteger os seus dados ou optar por não pagar o resgate, colocando assim em risco não só a vítima principal, mas todos os seus ecossistemas. Esta tática não só amplifica o medo e a incerteza, como também prejudica as relações entre a organização vítima e a sua rede, o que pode levar à perda de negócios e a danos a longo prazo nas parcerias.
- Ameaças públicas: A estratégia pode envolver fazer declarações públicas ou ameaças sobre a vítima, por vezes dirigidas a figuras específicas da organização, como o Diretor de Segurança da Informação (CISO), para personalizar e escalar o ataque. Os CISO estão sob constante pressão para enfrentar os desafios de cibersegurança, o que os torna um alvo perfeito. Ao apresentar os principais decisores como diretamente responsáveis por quaisquer consequências, os atacantes tentam isolá-los, minando a sua autoridade e capacidade de tomada de decisão dentro da sua organização e entre as partes interessadas.
Em suma, a extorsão quádrupla representa uma evolução sofisticada na estratégia de ransomware, aproveitando não só as ameaças técnicas, mas também a guerra psicológica e as táticas de relações públicas para forçar as organizações vítimas a obedecer.
9. Mega ataques
Os mega ataques representam uma nova categoria de ciberameaças, que se distingue pela sua escala, sofisticação e pela vasta gama de danos que são capazes de infligir ao ecossistema digital. Estes ataques visam especialmente os fornecedores de serviços de cloud (CSPs), aproveitando as vulnerabilidades de dia zero para comprometer não só entidades individuais, mas potencialmente centenas ou milhares de organizações que dependem destas infraestruturas de cloud. O objetivo estratégico dos CSP marca uma mudança significativa na abordagem dos cibercriminosos. Ao violar um único fornecedor de serviços de cloud, os atacantes podem obter acesso aos dados e sistemas de diversas organizações em simultâneo. Esta abordagem amplia exponencialmente o impacto do ataque, uma vez que os CSP são essenciais para as operações de uma vasta gama de empresas em vários setores.
10. Quais as táticas que os atacantes usam?
As operações do grupo RaaS, bem como as empresas, atualizam as suas táticas e ferramentas para se manterem à frente das medidas de cibersegurança, tomando uma série de medidas calculadas para executar os seus ataques com sucesso. Abaixo está um resumo do processo típico e das principais táticas que os grupos RaaS utilizam nas suas operações:
- Acesso inicial: os grupos RaaS ganham frequentemente a sua posição inicial através de campanhas de phishing concebidas para induzir os utilizadores a revelar as suas credenciais ou a instalar malware. São também conhecidos por explorar vulnerabilidades de segurança conhecidas em software ou adquirir vulnerabilidades de dia zero nos mercados negros para contornar as medidas de segurança sem serem detetados.
- Escalonamento de privilégios: Após obterem acesso, os atacantes procuram aumentar as suas permissões a nível administrativo. Isto pode envolver a exploração de pontos fracos nas definições da Active Directory, a manipulação de políticas de grupo ou a exploração de vulnerabilidades do sistema que lhes permitam obter um acesso mais alargado ao ambiente.
- Infiltração: Com privilégios elevados, os atacantes estabelecem uma presença mais forte no sistema. Podem ser criadas novas contas com privilégios elevados, duplicar tokens de autenticação ou recolher credenciais que proporcionem um maior acesso aos sistemas e aos dados, garantindo vários caminhos para manter o acesso.
- Movimento lateral: os atacantes movem-se dentro da rede para identificar e aceder a sistemas e ativos críticos. Esta mudança envolve, geralmente, tentativas adicionais de phishing dentro da organização, explorando relações de confiança entre sistemas e utilizando técnicas furtivas para evitar que os alarmes disparem.
- Evitar Defesas: Para manter a sua presença sem ser detetada, os operadores de RaaS podem limpar ou alterar registos, desativar sistemas de deteção e resposta de endpoint (EDR) e utilizar encriptação para ofuscar as suas atividades. Existem muitos tipos de encriptação, certifique-se de que utiliza o melhor. Esta etapa é crucial para que os atacantes possam cumprir os seus objetivos sem interrupções.
- Recolha, extração e implementação de dados: os atacantes identificam dados valiosos, removem-nos para um local que controlam e prosseguem com a implementação do ransomware. Isto pode envolver a encriptação de dados e sistemas comerciais críticos, interrompendo assim as operações e forçando a vítima a pagar um resgate pela chave de desencriptação.
11. Lista de medidas de proteção contra ataques de ransomware modernos
Para reforçar as defesas contra os ataques modernos de ransomware, as organizações devem adotar uma abordagem abrangente, integrando soluções tecnológicas e estratégias centradas nas pessoas. A lista de verificação que se segue descreve as principais medidas defensivas que podem melhorar significativamente a resiliência de uma organização contra estas ameaças:
- Implemente a encriptação forte: Empregue a encriptação para dados sensíveis nos seus três estados: em repouso, em utilização e em trânsito, tornando-os menos úteis para os atacantes, mesmo que consigam removê-los.
- Realize formação regular de sensibilização para a segurança: eduque a equipa sobre os riscos do ransomware, incluindo a identificação de tentativas de phishing e a importância de comunicar atividades suspeitas.
- Mantenha cópias de segurança regulares: mantenha cópias de segurança atualizadas de dados críticos em vários locais, incluindo armazenamento offline, para garantir a recuperação em caso de encriptação de ransomware. Proteja os documentos da sua empresa em sistemas de armazenamento, conheça aqui as melhores práticas.
- Fique a par dos patches: atualize regularmente software e sistemas para corrigir vulnerabilidades conhecidas, reduzindo drasticamente as opções de ataque para os cibercriminosos.
Aplicar um controlo de acesso rigoroso: Aplicar o princípio do menor privilégio da abordagem de confiança zero, garantindo que os utilizadores apenas têm o acesso necessário para as suas funções, limitando assim a propagação de ransomware.
- Invista na identificação e deteção contínuas: utilize ferramentas de identificação avançadas ou aproveite as ferramentas existentes com capacidades de monitorização para detetar atividades invulgares indicativas de um ataque de ransomware, permitindo uma resposta rápida.
- Desenvolver um plano de resposta a incidentes abrangente: Prepare um plano de resposta a incidentes para garantir uma resposta rápida e organizada, minimizando o tempo de inatividade e as perdas.
- Segmentação de rede: segmente a sua rede para restringir os movimentos, confinando a disseminação de ransomware a segmentos isolados da rede.
- Melhore a proteção de endpoints: implemente soluções avançadas de proteção de endpoints que combatam especificamente o ransomware e outras ameaças sofisticadas. Por exemplo, protege melhor os dados armazenados em dispositivos como o PC ou o Mac.
- Implementar a autenticação multifator (MFA): utilize a MFA para adicionar uma camada extra de segurança, protegendo as contas mesmo que as credenciais estejam comprometidas.
- Utilizar listas de permissões de aplicações: permita a execução apenas de aplicações aprovadas, bloqueando eficazmente as aplicações não autorizadas.
- Implemente soluções antiphishing: implante tecnologias e serviços antiphishing para detetar e bloquear e-mails de phishing antes de chegarem ao utilizador final.
- Estabeleça políticas de utilização e controlo: Formule políticas que regem a utilização segura de dispositivos e redes, incluindo a utilização de dispositivos pessoais e o acesso remoto.
- Reforça a segurança de e-mail: aplique soluções de verificação e filtragem de e-mail para identificar e bloquear mensagens maliciosas, reduzindo o risco de phishing e entrega de malware.
- Gestão segura de palavras-passe: incentive o uso de palavras-passe fortes e exclusivas e altere-as regularmente, juntamente com o uso de gestores de palavras-passe para melhorar a segurança.
Ao integrar estas estratégias defensivas, as organizações podem estabelecer uma postura de segurança forte, capaz de impedir ataques de ransomware e minimizar o seu impacto potencial.
12. Exemplo de um caso real mitigado
Exemplo de um caso real mitigado:
- Contacto inicial: Os atacantes penetraram na rede da empresa e encriptaram dados confidenciais, tendo depois contactado a empresa exigindo um resgate pela desencriptação.
- Tática de extorsão: Ao recusarem-se a pagar o resgate, os atacantes ameaçaram tornar públicos os dados encriptados, numa tentativa de pressionar ainda mais a empresa.
- Prova e verificação: Para provar que tinham o controlo dos dados, os atacantes enviaram uma amostra dos dados roubados, demonstrando a natureza crítica da informação encriptada.
- Avaliação dos dados comprometidos: Ao inspecionar a amostra fornecida, verificou-se que os dados tinham sido previamente encriptados pela empresa como parte das suas medidas de segurança, tornando-os inacessíveis aos atacantes.
- Danos Mitigados: Através da encriptação proativa de dados confidenciais da empresa e da manutenção de cópias de segurança atualizadas, os potenciais danos foram significativamente atenuados. A empresa restaurou os sistemas afetados a partir de cópias de segurança, evitando o pagamento do resgate e impedindo a divulgação pública de dados sensíveis.
13.º Os dados são o que há de mais valioso para eles
Os dados são, sem dúvida, o bem mais precioso para os ciberataques, que não procuram causar danos aleatórios, mas sim beneficiar substancialmente da informação sensível das organizações. Ciente disto, é imperativo que as organizações deem à proteção de dados o mesmo nível de importância que os atacantes. Isto significa considerar a segurança dos dados como uma preocupação fundamental e implementar medidas abrangentes para a proteger.
No centro destas medidas está a adoção de uma estrutura de segurança de confiança zero. Esta abordagem determina que nenhuma entidade – independentemente da sua posição dentro ou fora da rede da organização – receba confiança implícita, reduzindo assim enormemente o potencial de acesso não autorizado aos dados. Além de implementar um modelo de confiança zero, as organizações devem adotar uma abordagem de segurança centrada nos dados. Esta estratégia dá prioridade à salvaguarda dos dados em si, em vez de se concentrar apenas nas defesas perimetrais. Desta forma, mesmo que os atacantes contornem outras formas de defesa, os dados permanecerão inacessíveis graças à forte encriptação e aos controlos de acesso rigorosos. Estes métodos garantem que apenas o pessoal autorizado pode aceder e manipular os dados, diminuindo ainda mais o risco de violação de dados.
Uma postura de segurança centrada nos dados mantém-se eficaz contra um amplo espectro de vetores de ataque, sejam as ameaças provenientes de serviços baseados na cloud, de fornecedores externos ou mesmo de fontes internas à organização. Ao tornar a proteção de dados um elemento central da sua estratégia de segurança, as organizações podem garantir que, independentemente da natureza da violação, os seus dados permanecem protegidos contra o acesso não autorizado e a remoção.
14.º SealPath, o seu aliado para não ceder às ameaças
A SealPath entra nesta arena como um aliado formidável, oferecendo soluções empresariais de gestão de direitos digitais (EDRM) concebidas para fortalecer os dados contra o acesso não autorizado, a manipulação e a extorsão. A tecnologia SealPath permite às organizações proteger os seus dados mais valiosos, incorporando a segurança diretamente nas próprias informações, garantindo que estas permanecem inacessíveis aos atacantes, mesmo em caso de violação.
Basicamente, a abordagem do SealPath centra-se na encriptação de ficheiros e no estabelecimento de controlos de acesso granulares que determinam quem pode visualizar, editar, copiar ou partilhar os dados protegidos.
Este método de proteção viaja com os dados, independentemente do local onde estão armazenados ou com quem são partilhados, oferecendo uma camada de segurança persistente e dinâmica que se adapta a diferentes cenários de ameaças. Isto garante que, mesmo que os atacantes contornem outras camadas de defesa e obtenham acesso a ficheiros confidenciais, não conseguirão explorar os dados para ataques de ransomware ou quaisquer outros fins maliciosos.
O que diferencia o SealPath de outras ferramentas é o seu design centrado no utilizador e a fácil integração nos fluxos de trabalho existentes. Esta abordagem intuitiva garante que a proteção de dados melhora, em vez de prejudicar, a produtividade, tornando o SealPath não apenas uma ferramenta de segurança, mas um facilitador de operações comerciais seguras. Além disso, o SealPath fornece recursos detalhados de rastreio e relatórios, permitindo às organizações monitorizar quem acede aos seus dados e quando, oferecendo visibilidade e controlo sem precedentes sobre informações confidenciais.
Em suma, o SealPath representa uma ferramenta crítica no arsenal contra o ransomware e outras ciberameaças, oferecendo uma combinação única de encriptação robusta de dados, controlos de acesso granulares e operação fácil de utilizar.
O seu valor reside não só na sua capacidade de proteger os dados contra o acesso não autorizado, mas também na sua capacidade de garantir que, no local de trabalho digital, a segurança e a eficiência andam de mãos dadas. navegar com confiança pelo cenário digital, sabendo.
Post original aqui.