Ransomware, o perigo mora ao lado

Já foi amplamente anunciado que o número de ataques de ransomware bateu recorde em 2021. No entanto, o que se está observando de novo, além do crescimento desse tipo de crime cibernético, é o que o perigo pode estar mais perto do que se imagina. Gangues de ransomware estão recrutando funcionários de empresas, que têm acesso fácil e legítimo a dados e redes corporativos, para engrossar suas comunidades de cibercriminosos.

Cerca de 65% de funcionários e líderes de organizações de variados setores já foram abordados para ajudar em ataques de ransomware, segundo um estudo da Hitachi ID do início de 2022. O número representa um aumento de 17% em comparação com uma pesquisa semelhante  realizada no terceiro trimestre de 2021, ressaltando que a origem dos ataques pode estar cada vez mais nas próprias organizações.

Daqueles que foram abordados para ajudar em ataques de ransomware, 49% reportaram o incidente a agentes federais e apenas 18% fizeram relatos tanto internos quanto externos.

Em grande parte das vezes, o contato dos recrutadores foi feito por e-mail (59%). Outros meios usados foram telefone (27%) e mídias sociais (21%).

Muitas das empresas pesquisadas se consideram preparadas para se defender contra-ataques de ransomware, confiando apenas na defesa dos perímetros das redes – a maioria dos responsáveis pela tomada de decisão  (45%) afirma que usam principalmente esse tipo de técnica de cibersegurança, com 6% utilizando exclusivamente defesa perimetral. E é justamente aí onde pode estar o elo fraco da cadeia de recursos de cibersegurança, pois só visa agentes mal-intencionados vindos de fora e não eventuais profissionais internos recrutados pelas gangues de ransomware que podem atuar nos perímetros da organização.

De modo geral, 57% dos entrevistados relataram que foram oferecidos a eles dinheiro ou bitcoins no valor de menos de US$ 500 mil.

Por fim, das 65% empresas cujos integrantes foram abordados para ajudar em ataques de ransomware, 49% acabaram sendo vítimas desse tipo de cibercrime. A maioria, segundo o estudo, consultou assessores externos antes de agir e foi aconselhada a não pagar resgate; 26% pagaram o resgate, 29% não pagaram o resgate e 32% optaram por não comentar.

Funcionários incautos

Não apenas funcionários mal-intencionados, recrutados pelo cibercrime, podem ser facilitadores internos de ataques de ransomware, mas também os incautos.

Entre os três principais vetores de ataque usados por grupos de ransomware no ano passado, o mais prevalente foram justamente funcionários que instalarammalware de forma não intencional, ao clicar em um arquivo executável compactado ou com uma macro mal-intencionado. Ou seja, nem sequer foi preciso explorar eventuais vulnerabilidades em sistemas – funcionários incautos fizeram o trabalho sujo pelos hackers.

Essa “técnica de autoinstalação”de malware para ransomwarefoi aplicada em 83% de todos os incidentes de ransomware avaliados em 2021 pela Expel, provedora de sistemas de detecção e resposta, abrangendo toda sua base de clientes que inclui desde pequenas e médias empresas até grandes organizações).

Do total de incidentes que aplicaram a “técnica de autoinstalação”, 71%  usaram arquivos compactados com JavaScript, 7% usaram executáveis compactados e  4% incluíram macros de Excel.

Os outros dois vetores de ataque foram a exploração de vulnerabilidades de software dentro dos perímetros (4% de todos os incidentes de ransomware) e abuso de acesso por terceiros (3%, por exemplo, via ataques à cadeia de suprimento de software ou uso de credenciais privilegiadas comprometidas). Na primeira situação, os invasores atacaram servidores com sistema operacional Windows e exploraram uma versão vulnerável do WordPress, popular sistema de gestão de conteúdo. No segundo caso, o acesso com credenciais privilegiadas foi  remoto usando o Remote Desktop Protocol (RDP) da Microsoft ou um gateway Citrix.

As principais famílias de malware que foram atribuídas às operações de ransomware identificadas pela Expel foram o carregador do Gootkit (44% dos incidentes), o framework SocGholish (15%) e o agente Beacon da ferramenta Cobalt Strike (3%).

O estudo da Expel lista alguns dos principais padrões comportamentais que podem ajudar a identificar atividades de ransomware antes que qualquer dano seja causado. Esses padrões estão relacionados a endpoints e redes e podem ser conferidos aqui.