Nota: O seguinte artigo irá ajudá-lo com: Relatório da Kaspersky identifica novas tendências de ransomware para 2022
O ransomware é provavelmente o tipo de cibercrime que mais ganhou as manchetes em 2021, e 2022 parece seguir essa tendência. No entanto, ainda está evoluindo, e o novo ransomware parece mais adaptável, resiliente e mais industrializado.
De acordo com a Kaspersky em um novo relatório, os cibercriminosos continuam a usar ransomware para ameaçar varejistas e empresas em todo o país, à medida que antigas variantes de malware voltam enquanto novas se desenvolvem.
Uma cuidadosa análise tecnológica e geopolítica do final de 2021 e 2022 leva a Kaspersky a listar algumas novas tendências em ransomware.
Ransomware tenta ser o mais adaptável possível
Caça Grande
O modelo Big Game Hunting (BGH) fez com que os agentes de ameaças de ransomware penetrassem em ambientes cada vez mais complexos. Como consequência, esses agentes de ameaças precisam lidar com uma variedade de hardwares e sistemas operacionais muito diferentes e, portanto, precisam ser capazes de executar seu código malicioso em diferentes combinações de arquiteturas e sistemas operacionais.
Para atingir esse objetivo, alguns desenvolvedores de ransomware optaram por escrever seu código em linguagens de programação multiplataforma como Rust ou Golang. Em uma nota interessante, a Kaspersky menciona que esse código multiplataforma também é mais difícil de analisar para os defensores do que o código escrito em linguagem de programação C simples, por exemplo.
Conti
Os afiliados de agentes de ameaças da Conti usam diferentes versões de ransomware. Algumas afiliadas da Conti têm o a uma variante do malware que está atingindo os sistemas ESXi com uma variante Linux.
Gato preto
O ransomware BlackCat é escrito em Rust, o que facilita a compilação em diferentes plataformas. De acordo com a Kaspersky, não demorou muito após o aparecimento da versão Windows do BlackCat para ver uma versão Linux aparecer. A versão Linux é muito semelhante à versão Windows, com pequenas alterações para se adaptar ao Linux: a execução do comando usando cmd.exe no Windows foi substituída pelo equivalente Linux. Além disso, a versão Linux é capaz de desligar a máquina e excluir máquinas virtuais (VMs) ESXi.
DeadBolt
DeadBolt vem como outro exemplo. Este ransomware é escrito como uma combinação interessante de Bash, HTML e Golang, tornando-o capaz de usar funcionalidades multiplataforma, embora apenas visando dispositivos QNAP e ASUSTOR NAS.
VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Ecossistema de ransomware se torna mais “industrializado”
Os agentes de ameaças de ransomware, assim como qualquer empresa de software, estão em constante evolução na tentativa de tornar tudo mais rápido e fácil para eles e seus clientes/afiliados.
Lockbit tem sido um ransomware-as-a-service (RaaS) muito bem sucedido que tem mostrado evolução constante ao longo dos anos (Figura A). A partir de 2019, evoluiu rapidamente para receber afiliados em 2020 e desenvolveu um portal de vazamento, esquema de extorsão dupla e exfiltração de dados antes da criptografia de dados. Além do constante desenvolvimento de funcionalidades e facilidade de uso, a infraestrutura também melhorou ao longo do tempo para ser mais resiliente e combater ataques e tentativas de DDoS contra eles.
Figura A
A ferramenta de exfiltração StealBIT também é um exemplo marcante desse estágio de industrialização. Embora inicialmente os cibercriminosos usassem apenas ferramentas publicamente disponíveis para exfiltrar dados, eles desenvolveram sua própria ferramenta para serem menos detectados, mas também para melhorar muito a taxa de transferência de dados. Além disso, a ferramenta é capaz de apenas exfiltrar arquivos selecionados, com base nas extensões de arquivo. Por fim, contém um número de rastreamento de afiliado que é enviado quando os dados são exfiltrados.
Os agentes de ameaças de ransomware levam a geopolítica em consideração
Para começar, os aspectos geopolíticos agora são levados em consideração para infectar alvos. Manchetes usando o COVID-19 ou a guerra na Ucrânia foram usadas em e-mails de spam e phishing para atrair usuários a abrir arquivos anexados ou clicar em links infectantes.
Embora o uso do COVID-19 na infecção de e-mails não tenha sido pessoal, a guerra entre a Ucrânia e a Rússia é diferente, pois os cibercriminosos tomam partido, com consequências. Como exemplo, os vazamentos de Conti resultaram de Conti sendo atacado e exposto por um atacante pró-Ucrânia visando Conti por causa de sua posição no conflito. Em 25 de fevereiro de 2022, a Conti publicou uma declaração em seu site dizendo que a Conti retaliaria com plena capacidade contra a infraestrutura crítica de qualquer inimigo se a Rússia se tornasse alvo de ataques cibernéticos.
Por outro lado, comunidades como o Anonymous, o Exército de TI da Ucrânia e os Partisans Cibernéticos da Bielorrússia assumiram posições de apoio à Ucrânia.
Freeud, uma nova variante de ransomware que a a Ucrânia, contém uma mensagem na nota de resgate dizendo que as tropas russas devem deixar a Ucrânia. O ransomware também possui recursos de limpeza, caso tenha sido configurado com uma lista de arquivos a serem apagados.
Outros ransomwares implantados desde o início deste conflito encobriram atividades destrutivas: GoRansom e HermeticWiper, ou DoubleZero Wiper, para citar alguns.
VEJO: Política de segurança de dispositivos móveis (TechRepublic )
Recomendações para se proteger contra ransomware
Algumas práticas recomendadas para melhorar sua segurança são:
- Mantenha sempre todos os softwares e sistemas operacionais atualizados, em todos os dispositivos utilizados pela empresa. Isso ajuda muito contra a exploração de vulnerabilidades comuns que podem atingir qualquer sistema ou dispositivo.
- O tráfego de saída deve ser fortemente monitorado, a fim de detectar exfiltração de arquivos grandes ou transferências de dados de rede suspeitas.
- Implante soluções de segurança capazes de detectar movimentos laterais. Esses movimentos dentro da rede corporativa são obrigatórios para os invasores e devem ser detectados em um estágio inicial, para evitar exfiltração ou destruição de dados.
- Soluções de segurança com foco em ransomware devem ser implantadas, além de soluções XDR (eXtended Detection and Response).
- Forneça informações específicas de inteligência de ameaças para sua equipe de SOC.
- Implante soluções de proteção de e-mail/anti-phishing, pois os agentes de ameaças de ransomware podem usar spear phishing para atingir a empresa.
Divulgação: Eu trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.
