A evolução do ecossistema de extorsão por vazamento de dados

O ransomware é um dos mais problemas de segurança desconcertantes no ecossistema de cibersegurança. Ele evoluiu desde sua primeira aparição em 1989, quando era apenas um trojan primitivo que se espalhava por meio de discos, injetando nos computadores hospedeiros um vírus que criptografa arquivos e oculta diretórios, que são devolvidos somente quando a vítima paga um resgate. Eles são significativamente mais sofisticados e caros agora.

O lançamento do CryptoLocker no ano de 2013 foi um marco na evolução do ransomware. Ao contrário de seus antecessores, esse ransomware não adere ao bullying, o que só piora as coisas. Ele criptografa diretamente todos os arquivos do sistema e exige um resgate em troca de sua decodificação. E agora, com empresas como Sodinokibi e Maze, a linhagem de ransomware está operando em grande escala.

Ao longo dos anos, operadores maliciosos de ransomware expandiram o escopo do vírus para incluir recursos de bloqueio de tela, além da capacidade de sobrescrever registros de dados de inicialização. E graças à prevalência de famílias de ransomware, hoje, o ransomware é uma ameaça global que possui recursos e táticas avançadas de extorsão. O pos autores desses grupos de ransomware também têm como alvo os registros e arquivos pessoais da vítima.

Para garantir a rendição completa das vítimas, os agentes de ameaças mudaram para técnicas de ataque duplo. Se a vítima se recusar a pagar o resgate, seus dados vazarão em domínios públicos ou sites de vazamento de dados.

Neste blog, explicamos a evolução do ecossistema de extorsão por vazamento de dados por meio dos avanços feitos por grupos de ransomware nas últimas três décadas.

Armários da polícia

A metade da década de 2010 foi dominada por Trojans que retiravam o acesso dos usuários às suas telas ou navegadores. No ano de 2012, um novo golpe que envolveu um desses Trojans invadiu os navegadores. Ele enviou mensagens e alertas falsos que se disfarçavam de agência policial, apenas para enganar vítimas inocentes. A mensagem alegaria que o dispositivo da vítima estava envolvido em atividades ilegais, como violação de direitos autorais ou pornografia infantil. As vítimas então têm medo de pagar uma quantia como resgate usando cartões pré-pagos como MoneyPak, Paysaf ou Ukash.

Durante o mesmo período, outro ransomware que se espalhou disfarçado de FBI vitimou milhares de usuários de computador. No entanto, esse ransomware veio com a capacidade adicional de bloquear o endereço IP do computador host, a versão do Windows, a localização e o nome do ISP.

CryptoLocker

2013 testemunhou mais uma iteração do software malicioso que era capaz de criptografar dados. O CryptoLocker foi o primeiro ransomware desse tipo e usou criptografia RSA de 2048 bits. Além disso, as vítimas foram convidadas a pagar o resgate em Bitcoins pela primeira vez ou usando cartões pré-pagos. Com o tempo, os operadores por trás do CryptoLocker aumentaram sua demanda de $100 para $600 por computador. O sucesso desprezível desse ransomware levou ao lançamento de outros softwares maliciosos, como PClock, CryptoLocker 2.0 e TorrentLocker.

Surgimento do ransomware como serviço (RaaS)

Em 2015, grupos avançados de cibercriminosos decidiram monetizar o ransomware por meio de plataformas RaaS. Nos ataques que se seguem, os clientes adquirem ransomware dessas plataformas na dark web e dividem o lucro com os autores do ransomware. O RaaS tem ferramentas avançadas de rastreamento incorporadas como parte de seus serviços. Esse foi o motivo de uma onda de ataques de ransomware em todo o mundo.

Locky Ransomware e KeRanger

O ransomware Locky, lançado em 2016, espalhou macros maliciosas do Microsoft Word, infectando milhões de PCs em todo o mundo. Outro ransomware que fez uma entrada durante esse período foi o KeRanger, que aproveitou o sistema criptográfico RSA assimétrico para bloquear os dados da vítima. Os operadores do KeRanger geralmente exigem 500 dólares da vítima em troca do decodificador e instruem as vítimas a visitarem sites hospedados no Tor (rede de anonimato).

WannaCry e Notpetya

Com o tempo, os ransomwares foram desenvolvidos para serem mais furtivos e devastadores. No ano de 2017, houve vários surtos de ransomware, como WannaCry e Notpetya. Esses ataques não foram detectados inicialmente. E hoje, os agentes de ameaças distinguem claramente entre indivíduos e empresas quando exigem um resgate. Eles consideram que empresas e organizações são alvos mais interessantes. Os maiores pagamentos até então, resultantes de ataques de ransomware, foram relatados no ano de 2016.

Uma queda nos preços do Bitcoin e uma maior conscientização sobre segurança realmente forçaram os operadores de ransomware a renovar seu modo de ataque. Hoje, governos locais, pequenas e médias empresas, organizações de saúde e instituições educacionais são os principais alvos dos atores da ameaça.

Grupos de ransomware como Sodinokibi e Ryuk detectam portas não seguras, como portas RDP, para acessar redes. Os ataques mais recentes mostram que os atores são tão sofisticados que, uma vez hackeados os provedores de serviços, eles até invadem redes de organizações parceiras.

Labirinto

Recentemente, em novembro de 2019, o ransomware Maze ressurgiu no ecossistema cibernético e invadiu um plano para atacar uma organização de segurança — a Allied Universal.

O grupo por trás do ataque extorquiu 7 GB de dados, entrou em contato com a gerência da organização e exigiu 300 Bitcoins como resgate. Os atores até ameaçaram vazar informações confidenciais sobre a organização, a menos que a administração da Allied Universal os pagasse. Quando a gerência se recusou a pagar, as operadoras venderam cerca de 700 MB de dados para hackers russos e enviaram os dados restantes na natureza.

Conclusão

O ransomware está crescendo de forma contínua e exponencial, adicionando ferramentas e métodos novos e sofisticados ao seu arsenal. As empresas vítimas de seus ataques não apenas perdem o acesso a dados cruciais, mas todo o incidente prejudica sua reputação. Ainda por cima, os ataques de ransomware geram ações judiciais e questões de conformidade. Para se manterem seguras e combater os agentes da ameaça, as organizações precisam ter mecanismos de mitigação adequados. Manter um backup dos dados ganha metade da batalha, mas, a longo prazo, as organizações precisam usar softwares de segurança confiáveis, como XVIII Vigília da CloudSEK para evitar a maioria das ameaças de criptografia de arquivos.