Cuidado com a nova tática de extorsão de ataques ransomware

Sheila Zabeu -

Maio 14, 2021

As táticas de extorsão usadas por ataques ransomware, como o sofrido em maio de 2021 pelo maior oleoduto dos Estados Unidos, ganharam mais uma modalidade recentemente.  Até então, os cibercriminosos descriptografavam os dados roubados e ameaçavam vazá-los publicamente, se o resgate não fosse pago. Agora, vão além para levantar ainda mais dinheiro – ameaçam não apenas as empresas invadidas, mas também terceiros que eventualmente seriam prejudicados caso as informações viessem a público.

A chegada da nova tática não significa que a anterior tenha sido deixado de lado. Segundo o relatório da CheckPoint, especializada em inteligência de ciberameaças, a extorsão dupla foi muito bem sucedida ao longo de 2020. Nesse período, mais de mil empresas sofreram vazamento de dados por se recusarem a pagar os resgates. Além disso, o valor médio do resgate aumentou 171% no ano passado, chegando a aproximadamente US$ 310 mil.

Não contentes com isso, os invasores estão usando esse terceiro método para incrementar ainda mais suas ameaças. A primeira vítima da extorsão tripla que ganhou destaque foi outubro de 2020 envolvendo uma clínica de psicoterapia finlandesa com 40 mil pacientes. Foi exigido da clínica um resgate significativo e  paralelamente quantias menores também foram exigidas dos pacientes via e-mail. Nas mensagens, os criminosos ameaçavam publicar notas das sessões terapêuticas.

Mais recentemente, um relatório da CheckPoint registrou um aumento de 57% no número de ataques de ransomware em nível global entre janeiro e março de 2021 em meio à divulgação das vulnerabilidades do Microsoft Exchange. Estima-se que esse tipo de invasão tenha custado às empresas em todo o mundo cerca de US$ 20 bilhões em 2020, um valor quase 75% maior do que em 2019. Desde abril, foi reportada uma média de mais de mil organizações vítimas de ransomware todas as semanas. Isso representa um impressionante aumento de 102% no número de organizações afetadas por ransomware em comparação com o início de 2020.

Os setores de atividade que estão enfrentando o maior número de tentativas de ataque ransomware em nível mundial são saúde, serviços públicos e seguros/jurídico.

Número médio de ataques de ransomware por organização por semana, por setor – abril de 2021
Fonte: Checkpoint

Como se proteger?

A CheckPoint apresenta algumas recomendações para que as pessoas possam se proteger contra ataques ransomware:

1. Fique atento aos finais de semana e feriados, quando aconteceram a maior parte dos ataques ransomware em 2020.

2. Não deixe de instalar atualizações e patches atualizados. Muitas pessoas e mesmo empresas não instalam correções, assim que uma vulnerabilidade é divulgada. A procrastinação pode custar caro, caso ataques ransomware venham a explorar essa falha.

3. Soluções anti-ransomware são um complemento necessário das primeira e segunda recomendações citadas.  Por exemplo, alguns grupos de ransomware usam a técnica spear phishing – que envia e-mails para induzir os indivíduos a revelar informações confidenciais – para invadir sistemas de empresas. A proteção contra esse tipo de ataque requer soluções anti-ransomware que buscam identificar comportamentos suspeitos comumente apresentados por praticantes desse tipo de ataque.

4. Orientação e informação para identificar e evitar possíveis ataques de ransomware são cruciais. Muitos dos ataques cibernéticos começam com mensagens aparentemente inofensivas, mas usam engenharia social para fazer o indivíduo clicar em links que posteriormente vão desencadear ataques ransomware. Estar bem orientado e informado é uma dos meios de defesas mais importantes.

A propósito, o FBI confirmou que o grupo cibercriminoso DarkSide foi responsável pelo ataque ransomware ao oleoduto Colonial Pipeline nos Estados Unidos. Esse grupo trabalha com um modelo Ransomware-as-a-Service (RaaS), por meio do qual usa programas de parceiros para por em prática os ciberataques. Segundo a Bloomberg, a Colonial Pipeline Co. pagou quase US$ 5 milhões aos hackers, contradizendo as declarações iniciais da empresa. Após terem recebido o valor, os cibercriminosos forneceram uma ferramenta de descriptografia para restaurar os sistemas. Representantes da Colonial Pipeline não quiseram comentar o fato.

Em um trabalho conjunto, o FBI e a Cybersecurity and Infrastructure Security Agency (CISA) e também divulgaram práticas para que responsáveis por infraestruturas críticas, como as do oleoduto norte-americano, possam aprimorar seus sistemas de proteção contra ataques ransomware.