Ciberataques colocando empresas e pessoas em risco.

Ransomware: Uma ameaça cibernética que pode dar prejuízos a empresas e se torna cada vez mais profissional

A utilização do ransomware como forma de sequestro de dados e informações já se tornou a principal ameaça cibernética para empresas em todo o mundo. Na semana passada, a rede varejista Renner foi alvo de criminosos que, além de roubarem os dados dos seus clientes, exigiram um resgate de 1 bilhão de dólares para liberação dos arquivos.

Para falar sobre o tema, a jornalista Leticia Rio Branco entrevistou, Joseph Buckley, Diretor Associado da Control Risks em Londres, que lidera as atividades de análise de inteligência de ameaças cibernéticas. Ele também é responsável por gerenciar ameaças cibernéticas da consultoria em todo o ciclo de vida do processo, avaliando ameaças do tipo a organizações públicas e privadas.

Na sua opinião, por que o cibercrime tem crescido cada vez mais? É uma operação lucrativa, não?

A crescente dependência de serviços digitais e negócios interconectados, TI e sistemas operacionais levou a uma maior lucratividade do cibercrime e a táticas de malefícios digitais cada vez mais avançadas. Com o surgimento da pandemia da Covid-19, por exemplo, essas ameaças se intensificaram, encorajando grupos a irem além do crime cibernético tradicional e da fraude para usar o ransomware como forma de prejudicar empresas. E, além disso, até mesmo os criminosos menos qualificados passaram a usar tais métodos, o que preocupa toda a comunidade corporativa.

E qual o impacto financeiro do ramsoware nas empresas?

Com certeza, ele pode ser devastador; algumas estimativas colocam o custo anual total de ataques em todo o mundo, incluindo pagamentos de resgate e custos de reparos, em aproximadamente US$170 bilhões. Além disso, o custo médio de um único ataque de ransomware envolve mais prejuízos, como tempo de inatividade operacional, recursos esgotados e fora de hora, pagamentos de resgate, suporte de terceiros e reconstrução do sistema. Ou seja, tudo isso torna esses incidentes muito caros para se remediar.

No Brasil, temos os exemplos de ataques como os da rede varejista Renner e até mesmo o do Tesouro Nacional. No exterior, qual seria um dos maiores casos? Poderia citar?

Sim, claro. Em 2020, muitas organizações testemunharam, em primeira mão, os efeitos perturbadores dos incidentes de ransomware. Um dos exemplos mais citados foi um ataque em julho contra a multinacional de tecnologia Garmin, com sede nos Estados Unidos, que não só criptografou os arquivos e sistemas da empresa, mas também roubou seus aplicativos, sites e dados de call centers por vários dias.

Muitos grupos de ransomware operam cada vez mais profissionalmente. Como eles se organizam? Como funcionam, na prática?

Alguns dos grupos de ransomware, digamos, mais profissionais começaram a criar modelos de negócios mercantilizando suas ferramentas e franqueando suas empresas criminosas para que outros especialistas em cibercrime comprem seus produtos – grupos que também têm aplicado, cada vez mais, diferentes estratégias para garantir o máximo de interrupção para organizações-alvo e seus clientes, aumentando a probabilidade de as vítimas pagarem resgates. Essas estratégias incluem, portanto, direcionar os setores mais vulneráveis à ruptura. Vários grupos de ransomware também alavancaram organizações de TI e comunicações como pontos centrais nas redes de seus clientes. Sodinokibi e NetWalker, dois dos mais conhecidos grupos de ransomware que atacam empresas, por exemplo, foram atrás dos provedores de serviços de TI e nuvem aproveitando os riscos de reputação e regulação ao ameaçar vazar dados altamente confidenciais de seus clientes para pedir resgates ainda mais elevados. Ou seja, os operadores de ransomware normalmente realizam ataques altamente direcionados contra um pequeno número de alvos de alto valor, ou visam oportunisticamente uma ampla gama de redes para pedir resgates menores; porém, mais numerosos.

E o que pode ser considerado mais inovador quando falamos de ataques de ramsoware?

Alguns grupos buscam os dois métodos ou compram acesso a redes já comprometidas por outros criminosos. Além de focar em setores de alto valor percebido, grupos como o agora extinto Maze Team e seu sucessor o Egregor, adotaram um modelo de franquia conhecido como “ransomware como serviço” (RaaS), no qual afiliados com menos capacidade técnica executam ataques em uma porcentagem de receita, enquanto os desenvolvedores de ransomware mais avançados fornecem as ferramentas. A crescente adoção do modelo RaaS aumenta o número de atores capazes de conduzir operações de ransomware, ao mesmo tempo em que aumenta o impacto que essas operações têm sobre suas vítimas.

Diante disso, quais as tendências para o próximo ano?

No próximo ano, os grupos RaaS continuarão a se concentrar no recrutamento de cibercriminosos altamente qualificados, com experiência em violar grandes redes corporativas, para suas operações. Vários grupos de ransomware também estão utilizando maneiras inovadoras de monetizar os dados roubados de suas vítimas, por exemplo, leiloando-os a lances cada vez mais altos.

Além do ambiente empresarial, o estado também tem estado na mira do cibercrime. Como o senhor explica esse tipo de ataque voltado para o governo?

O potencial de ganho financeiro das operações de ransomware vai além do ecossistema empresarial e começou a atrair atores ligados ao estado, muitas vezes chamados de ameaças persistentes avançadas (APTs). Os exemplos incluem até mesmo criminosos norte-coreanos, que são amplamente responsabilizados pelo ataque de ransomware WCry de alto impacto ocorrido em maio de 2017 e que, agora, estão usando uma nova modalidade chamada VHD para criptografar redes corporativas-alvo na Europa. Outros atores, como o grupo estadual APT41, continuarão a usar técnicas de ransomware para monetizar o acesso às redes que se tornam comprometidas durante a atividade de espionagem, por exemplo. Os atores estaduais também continuarão a alavancar os relacionamentos com os cibercriminosos para cumprir requisitos de relatórios, obtendo dados roubados que sejam relevantes para os objetivos de sua inteligência. Essas sobreposições parecem estar moldando os padrões de alvos de grupos cibercriminosos que se concentram em estados adversários do país anfitrião; por exemplo, uma grande proporção dos ataques continua a ter como foco empreiteiros de defesa, governo e organizações de alta tecnologia nos EUA, Reino Unido e norte da Europa e, também, na América Latina.

Além dos resgates exigidos em dinheiro, quais são as alternativas que os grupos de cibercriminosos têm exigido para não colocar os dados sequestrados em risco?

Criptografar, roubar e ameaçar vazar dados não é mais o único método de resgate usado por grupos de ransomware. Nos últimos cinco meses, vimos um aumento no ransomware e outros grupos cibercriminosos usando técnicas alternativas de extorsão para forçar as vítimas a pagar, variando entre ataques extorsivos e disruptivos de negação de serviço distribuído (DDoS), ataques extorsivos de apagamento de dados, alegações de reversão de produtos de software, além de leiloar ou vender dados roubados ao maior lance. Vale destacar que os grupos de ransomware podem aplicar todas essas técnicas sem criptografar os dados das vítimas.

Isso comprova que o ressurgimento dessas técnicas alternativas mostra que os cibercriminosos estão se tornando cada vez mais agressivos em seus ataques?

Sim. A expectativa para é de que os grupos de ransomware continuem explorando métodos novos e cada vez mais perturbadores. Isso quase certamente incluirá o uso de tecnologias emergentes, como deepfakes, que permitirão ainda mais que cibercriminosos menos qualificados exijam dinheiro de empresas, executivos e pessoas.

E o que deve ser feito para impedir que as empresas caiam nesses golpes?

Os cibercriminosos desfrutam de um equilíbrio constante entre lucro e segurança contra a aplicação da lei e grupos rivais; por outro lado, para as organizações, as medidas de mitigação baseadas em soluções de segurança cibernética proativas e ameaças em cenários de crise de ransomware realistas poderão finalmente impedir que os inúmeros grupos de ransomware, cada vez mais profissionais, forcem as empresas a uma situação em que pagar um resgate pode ser visto como uma opção atraente.

Fonte: Business Partner: Agência Latam Intersect PR- Jornalista Leticia Rio Branco

Foto de Washington Leite
Foto de Washington Leite O autor:

Formado em Administração de Empresas, sou entusiasta da tecnologia e fascinado pelo mundo das criptomoedas, me aventuro no mundo do trade, sendo um eterno aluno. Bitcoin: The money of the future