O ransomware, o comprometimento de e-mail corporativo (BEC) e a perda de dados têm mais em comum do que se imagina.
É seguro dizer que o ransomware avançou além de seu estágio epidêmico e que agora é endêmico. Ele está tendo um impacto maior que nunca nas vidas cotidianas e nenhuma organização está imune. O relatório State of the Phish de 2022 da Proofpoint revelou que 68% das organizações globais lidou com pelo menos uma infecção de ransomware decorrente de carga viral direta de e-mail, entrega de malware de segundo estágio ou outro tipo de comprometimento. Qualquer um que use a Internet é uma vítima em potencial do ransomware.
Assim como a rede de possíveis vítimas do ransomware aumentou, o mesmo ocorreu com os modelos de negócios do perpetradores de ameaças. Técnicas de extorsão dupla e até tripla agora são comuns. O vazamento de grandes quantidades de dados confidenciais e a manutenção de acesso persistente proporcionam oportunidades para os atacantes aumentarem tanto o custo quanto a diversidade de suas exigências.
Muitos grupos de ransomware, com receio da atribuição e dos processos criminais associados, abandonaram completamente o malware bloqueador. Em vez disso, eles estão roubando quantidades imensas de dados e cobrando valores, tanto por sua venda quanto por sua destruição (sem garantia alguma para o comprador, especialmente na segunda opção).
Os perpetradores de ameaças podem aprimorar seus modelos de negócios, mas seu objetivo continua o mesmo: tirar proveito próprio do acesso ao seu ambiente. A migração do malware bloqueador para o roubo de dados ainda constitui extorsão e os perpetradores de BEC que abandonam a fraude de folha de pagamento e a fraude fiscal e praticam fraude financeira cibernética em um modelo “business-to-business” (B2B) ainda se enquadram no BEC. Cabe observar que um perpetrador de BEC à procura de uma fatura não paga e um grupo de ransomware (ou talvez devêssemos dizer “de extorsão cibernética”) tentando roubar dados utilizam muitas das mesmas técnicas, independentemente de suas estratégias de monetização.
Essas ferramentas e técnicas têm sido semelhantes há anos — comprometimento de credenciais, impostura, malware ativado pelo usuário, roubo de dados etc. Não importa o caminho seguido pelo cenário de ameaças, está claro que considerar as principais categorias de risco de ransomware, extorsão de dados, BEC e perda de dados como categorias de risco separadas não é o ideal. Em outras palavras, a vantagem dos defensores é que dificultar o uso dessas ferramentas e técnicas por um adversário pode tornar as coisas igualmente difíceis para diversos tipos de adversários.
Conheça o novo inimigo, igual ao velho inimigo
Ransomware como roubo de dados
Praticamente 100% dos incidentes de ransomware envolvem roubo de dados, o que o torna a forma predominantes de extorsão. De fato, muitos grupos de ransomware agora dedicam-se unicamente ao roubo de dados e não criptografam nem tentam destruir informação alguma.
Isso resulta em um método de ataque incrivelmente problemático. Com os dados já fora das suas defesas, não há garantia de que você vai reavê-los. Mesmo que você os recupere, eles podem já ter sido vendidos, expostos ou utilizados de alguma forma contra a sua organização — agravando o dilema de pagar ou não o resgate.
Cada vez mais as organizações optam por não pagar, mas isso tem desvantagens óbvias. A mais evidente é que se menos organizações pagam resgates, os criminosos cibernéticos procuram monetizar seus ataques de outras maneiras. As seguradoras cibernéticas estão, cada vez mais, recusando-se a pagar por ataques de ransomware.
Por essa razão, a maioria dos perpetradores de ameaças segue o mesmo roteiro: roubar uma grande quantidade de dados e vendê-los na Dark Web, além de exigir o pagamento de um resgate para não divulgar a violação de dados mais publicamente.
A curto prazo, a melhor defesa possível é detectar um ataque em potencial enquanto o mesmo está ocorrendo e evitar que o vazamento de dados causado pelo ataque seja bem-sucedido.
Perpetradores de ameaças notórios por utilizar táticas de extorsão dupla ou tripla:
- As ferramentas BlackCat/ALPHV desenvolveram a capacidade de corromper ou destruir arquivos vazados — deixando os atacantes com a única cópia funcional dos dados.
- Black Basta usa extorsão dupla para criptografar dados confidenciais e ameaçar vazá-los caso as exigências não sejam cumpridas.
- LockBit usa técnicas de extorsão tripla para pressionar ainda mais as vítimas a pagar resgate.
- BlackByte usa técnicas de extorsão na Dark Web para possibilitar que a vítima pague para remover seus dados e para que outros perpetradores de ameaças comprem os dados.
- Yanluowang (associado com LAPSUS$) comprometeu a conta de rede privada virtual (VPN) de um funcionário e alegou ter roubado até 55 GB de dados.
Ransomware e BEC
Tradicionalmente, os perpetradores de BEC e de ransomware são considerados dois grupos separados. Porém, essa classificação tem o risco de complicar ainda mais um cenário de ameaças já complexo.
Sim, determinados grupos têm suas especialidades, conjuntos de habilidades e infraestruturas mais apropriadas para um ou outro estilo de ataque. Porém, em grande parte, as táticas e técnicas básicas utilizadas são as mesmas.
Embora perpetradores de ameaças de ransomware e de BEC possam apresentar características um pouco diferentes, há muita coisa em comum de um ponto de vista defensivo.
Em quase todos os casos, esses tipos de criminosos cibernéticos obtêm ou compram o acesso inicial a um ambiente utilizando alguns métodos:
- Phishing de e-mail
- Protocolo de desktop remoto (RDP), que permite aos atacantes assumir o controle de um computador remotamente
- Malware ladrão, que pode coletar credenciais, cookies e tokens de autenticação
Os perpetradores de BEC e de ransomware também utilizam com frequência o sequestro de threads para inserirem a si próprios em comunicações legítimas.
Enfim, sejam quais forem as táticas do dia, o fato de haver tanta semelhança dá as organizações uma vantagem imensa na construção de uma estratégia de defesa.
Em última instância, você está tentando bloquear as mesmas atividades, independentemente de como um perpetrador de ameaças monetiza um ataque já realizado.
A partir do momento em que compreendemos isso, a proteção contra ameaças e a proteção de informações não são mais dois desafios distintos com conjuntos de controles diferentes. Ao repensar nossas defesas, podemos detectar e evitar os maiores desafios de cibersegurança de hoje em dia — o BEC, o ransomware e o roubo de dados — com muito mais eficácia.
Construção de uma defesa para cada ataque
As soluções tradicionais de prevenção de ameaças e de perda de dados não conseguem resolver os atuais cenários de ameças nos quais os perpetradores comprometem contas para roubar dados. Ferramentas que procuram indicadores de comprometimento utilizando regras de classificação de dados não são mais suficientes por si só.
Em vez disso, os defensores devem procurar sinais de detecção que possam ser mapeados conforme o comportamento atual dos atacantes. Por exemplo, a identificação de múltiplos logins com o mesmo cookie de sessão pode sinalizar um atacante aproveitando credenciais comprometidas. Se, então, no endpoint desse mesmo usuário ocorrer a instalação de uma ferramenta de compactação incomum, como 7zip ou WinRAR, a criação de um arquivo compactado gigantesco de várias partes ou uma grande quantidade de dados for para sites de compartilhamento de arquivos na nuvem frequentemente utilizados por atacantes (como o Mega), você pode afirmar com segurança que é hora de colocar em ação a resposta a incidentes.
Os operadores de ransomware de hoje em dia são oportunistas. Seja qual for seu objetivo, eles sempre procuram organizações com controles de segurança fracos e utilizam técnicas que funcionam consistentemente. Eles procuram dispositivos de VPN vulneráveis conectados à Internet, uma porta RDP aberta ou pessoas que cliquem em um link ou que façam o download de um anexo em um e-mail de phishing. E eles sabem que tais pessoas são, por ampla margem, as mais fáceis de encontrar.
É por isso que a defesa contra todos os ataques de ransomware, extorsão de dados e BEC — todos os quais utilizam as mesmas técnicas de comprometimento de credenciais, impostura, malware ativado pelo usuário e dados — depende das pessoas. Cargas virais maliciosas são quase sempre entregues através de engenharia social e a interação humana é essencial para que esses ataques tenham êxito. Ao proteger o seu pessoal, você reforça a resiliência cibernética e reduz as possibilidades de êxito de uma variedade de ataques cibernéticos.
Se os cibercriminosos não conseguirem entrar na sua organização, eles não poderão criptografar arquivos, roubar dados e interromper atividades como costumam fazer. Portanto, embora não exista “bala de prata” na cibersegurança, armar e proteger o seu pessoal mantendo longe as ameaças e defendendo os seus dados é o mais perto disso que podemos chegar.
Defenda-se contra ransomware com a Proofpoint
Nossas plataformas abrangentes e integradas reduzem o risco de ataques de ransomware ao dispor de camadas de controles para evitar o acesso inicial e se defender contra perda de dados.
Saiba mais sobre como a Proofpoint defende você contra ransomware.
Descubra New Perimeters — Proteja as pessoas. Defenda os dados.
Gostaria de ler mais artigos como este? Acesse os mais recentes insights sobre cibersegurança em nossa revista exclusiva, New Perimeters. Essa publicação está disponível para navegação on-line, download para leitura posterior ou em versão impressa entregue diretamente na sua porta.
Você pode obter o seu exemplar gratuito de New Perimeters, a revista exclusiva da Proofpoint, aqui.