Relatório: Ransomware-as-a-Service é uma 'indústria autossustentável'

Um novo relatório revelou as complexidades do ecossistema de ransomware da Internet, concluindo que os atores que trabalham ao lado de grupos de ransomware exigem mais atenção do que estão recebendo atualmente.

O relatório detalha como os agentes de ameaças estão implantando uma infinidade de técnicas de extorsão – muitas vezes em conjunto – para forçar as empresas a negociar e, finalmente, pagar taxas para proteger e/ou recuperar seus dados.

Ao entender os vetores de ataque mais comumente usados ​​por grupos de ransomware, as empresas podem tomar medidas para se proteger. Os gerenciadores de senhas , por exemplo, são uma maneira de garantir que os funcionários da sua empresa não estejam fornecendo uma maneira fácil de entrar com credenciais de conta fracas.

Ransomware-as-a-Service está crescendo

O relatório da Tenable explica que uma das principais razões por trás do recente boom do ransomware é “o advento do ransomware como serviço (RaaS)”.

Em essência, RaaS é um modelo de serviço, assim como Software-as-a-Service. Grupos de ransomware criam o software, mas outros atores acabam invadindo os sistemas e implantando-o.

Antes disso, eram os próprios grupos de ransomware que realizavam todas as ações do processo, mas agora, o sistema é infinitamente mais complexo e existem vários estágios em que atores menores podem ganhar dinheiro.

O ecossistema de ransomware explicado

A Tenable explica que o ecossistema de ransomware não é composto apenas por grupos de ransomware. Os grupos de ransomware são os criadores e proprietários do “produto” e, por sua vez, recebem grande parte da atenção, mas, no geral, a empresa identifica três 'papéis' principais que desempenham um papel na maioria dos ataques de ransomware: IABs, Afiliados e grupos de ransomware.

Os Initial Access Brokers (IABs) são um “grupo especializado de cibercriminosos responsáveis ​​por obter acesso a organizações por vários meios”.

Em vez de usar seu acesso injustificado para orquestrar seu próprio ataque de ransomware, explica o relatório, os IABs “mantêm a persistência nas redes das organizações vítimas e a vendem para outros indivíduos ou grupos dentro do ecossistema de crimes cibernéticos”.

O mercado de IABs valia US$ 1,6 milhão em 2019, mas cresceu para US$ 7,1 milhões em 2021 (Grupo-IB). Este é um valor muito menor do que o dinheiro ganho em outras partes da cadeia de ransomware, simplesmente porque há muito menos risco.

O mercado de Initial Access Brokers (IABs) valia US$ 1,6 milhão em 2019, mas cresceu para US$ 7,1 milhões em 2021 – Group-IB

Após a invasão dos IABs, os atores conhecidos como Afiliados comprarão o acesso que mineram por algo entre algumas centenas e alguns milhares de dólares. Como alternativa, eles usarão vetores de ataque, como sistemas de protocolo de desktop remoto de força bruta, phishing, vulnerabilidades do sistema ou credenciais roubadas para invadir os servidores da empresa.

O relatório diz que esses atores trabalham como comerciantes de afiliados que encontram leads em práticas comerciais normais e legítimas – eles infectam o sistema e permitem que o grupo de ransomware “feche o negócio” e inicie o processo de negociação.

Os Afiliados geralmente recebem instruções dos próprios grupos de ransomware, ajudando a testar e utilizar suas criações.

Como a extorsão “dupla”, “tripla” e “quádrupla” faz as empresas pagarem

Tradicionalmente, os grupos de ransomware criptografam os arquivos de uma empresa e os fazem pagar para descriptografá-los. Mas hoje em dia, a maioria das empresas tem backups de arquivos seguros, então esse método se tornou cada vez mais ineficaz.

Nos últimos anos, no entanto, “dupla extorsão” se tornou o padrão para muitos grupos de ransomware. Isso consiste em “exfiltrar dados de organizações de vítimas e publicar teasers” em fóruns da dark web e sites de vazamento. Empresas temerosas de que informações privadas e confidenciais sejam vazadas on-line posteriormente pagam.

Em 2021, a REvil garantiu um pagamento de US$ 11 milhões da JBS, apesar do sistema da empresa estar “totalmente operacional” no momento do pagamento.

No entanto, essa tática já tem vários anos e a Tenable diz que outras técnicas estão sendo usadas em conjunto em tentativas de extorsão “triplas” ou mesmo “quádruplas”.

Os métodos incluem entrar em contato com os clientes aos quais os dados roubados se referem, ameaçar vender os dados roubados para os maiores lances e alertar as vítimas contra contatar as agências de aplicação da lei.

Foco além dos grupos de ransomware

O relatório sugere que o papel crucial que IABs e afiliados desempenham no ecossistema de ransomware deve receber mais atenção.

Os grupos de ransomware são, em essência, impermanentes. Quanto mais sucesso eles têm, mais afiliados querem se voltar para eles e usar seu software, mas, por sua vez, mais agências de aplicação da lei tentam rastreá-los.

Muitos dos grupos de ransomware “infames” que estão nas manchetes hoje, como o grupo Conti , são sucessores de outros grupos de ransomware. Se você iniciou uma investigação em um grupo, ele pode nem existir daqui a um ano. IABs e afiliados, no entanto, irão.

O que as empresas podem fazer para se proteger?

A Tenable oferece várias medidas de mitigação diferentes que as empresas podem adotar para garantir que não sejam as próximas vítimas de um ataque de ransomware extorsivo. Isso inclui o uso de autenticação multifator, auditoria contínua de permissões de usuários para contas, correção de ativos vulneráveis ​​em sua rede, proteção de protocolos de área de trabalho remota e uso de software antivírus apropriado .

A lista também inclui o fortalecimento das senhas de seus funcionários e informa que “os requisitos de senha incluem palavras longas e não-dicionários”. Uma maneira de garantir que as senhas sejam suficientemente longas sem precisar lembrá-las é usar um gerenciador de senhas , que também permitirá que sua equipe crie senhas exclusivas para todas as contas que possui, em vez de reutilizá-las.

Com o mercado de RaaS – e os grupos maliciosos que participam dele – não mostrando sinais de desaceleração, nunca foi tão importante tomar as maiores precauções com seus dados.