Início Atualidade Ransomware 2.0: da encriptação de dados à publicação online de informação confidencial

Ransomware 2.0: da encriptação de dados à publicação online de informação confidencial

0
Ransomware 2.0: da encriptação de dados à publicação online de informação confidencial

Os ataques de ransomware são considerados um dos tipos mais graves de ameaças que as empresas enfrentam. Não só podem perturbar operações comerciais críticas, como também podem levar a elevadas perdas financeiras – e, em alguns casos, podem levar à falência, devido a multas e processos judiciais resultantes da violação de leis e regulamentos. Por exemplo, estima-se que os ataques do ransomware WannaCry tenham causado mais de quatro mil milhões de dólares em perdas financeiras. Contudo, as novas campanhas de ransomware estão a modificar o seu modus operandi: ameaçam trazer a público as informações roubadas a empresas. Ragnar Locker e Egregor são duas conhecidas famílias de ransomware que praticam este novo método de extorsão.

O grupo de ransomware Ragnar Locker foi identificado pela primeira vez em 2019, mas só se tornou conhecido no primeiro semestre de 2020, quando atacou grandes organizações. Os ataques são muito seletivos e adaptados a cada vítima, e aqueles que se recusam a pagar as quantias exigidas pelos cibercriminosos vêem os seus dados confidenciais publicados na secção “Wall of Shame” do seu site de leaks. Se a vítima conversar com os atacantes e depois se recusar a pagar, esta conversa também é publicada. Os principais alvos deste grupo são empresas nos Estados Unidos em diferentes indústrias. Em julho deste ano, os membros do Ragnar Locker declararam que se tinham juntado ao grupo de ransomware Maze – uma das famílias de ransomware que mais se destacaram em 2020 – , o que significa que ambos irão colaborar e partilhar informações roubadas.

Já o Egregor é muito mais recente que o Ragnar Locker: foi descoberto pela primeira vez no passado mês de setembro. Contudo, utiliza muitas das mesmas táticas e partilha semelhanças de código com o Maze. Este malware é descarregado após uma violação de rede, e assim que os dados do alvo tenham sido roubados, dá à vítima apenas 72 horas para pagar o resgate antes que a informação roubada se torne pública. Se as vítimas se recusarem a pagar, os cibercriminosos publicam os nomes e links para descarregar os dados confidenciais da empresa no seu site de fugas de informação. O raio de ataque do Egregor é muito mais extenso do que o do Ragnar Locker. Tem atingido vítimas em toda a América do Norte, Europa e determinadas regiões da Ásia-Pacífico.

“O que estamos a ver neste momento é o aumento do ransomware 2.0. Os ataques estão a tornar-se altamente direcionados e o foco não está apenas na encriptação; em vez disso, o processo de extorsão baseia-se na publicação online de dados confidenciais. Isto coloca não só a reputação das empresas em risco, mas também dá entrada a processos judiciais se os dados publicados violarem regulamentos como o HIPAA ou o GDPR. Há mais em jogo do que apenas perdas financeiras”, comenta Dmitry Bestuzhev, Responsável pela Equipa Global de Investigação e Análise da América Latina (GReAT).

“As organizações devem começar a olhar para o ransomware como mais do que apenas um tipo de malware. De facto, muitas vezes, o ransomware é apenas a fase final de uma violação de rede. Mas no momento em que o programa de ransomware é efetivamente implementado, os cibercriminosos já realizaram um reconhecimento da rede, identificaram os dados confidenciais e filtraram-nos. Por isso, é importante que as organizações implementem as melhores práticas de cibersegurança. Identificar o ataque numa fase inicial, antes de os atacantes atingirem o seu objetivo final, pode poupar muito dinheiro” acrescenta Fedor Sinitsyn, especialista em segurança da Kaspersky.

A iniciativa “No More Ransom” já evitou o pagamento de milhões em resgates

Desde que a iniciativa No More Ransom foi lançada, há quatro anos, mais de quatro milhões de vítimas de ransomware em 188 países puderam desbloquear os seus dados, através das ferramentas gratuitas oferecidas na plataforma – e isto evitou que cerca de 600 milhões de dólares fossem parar aos bolsos dos criminosos sob a forma de resgate. Nos últimos dois anos, as ferramentas de descodificação da Kaspersky publicadas no site foram descarregadas mais de 216.000 vezes e entre as mais descarregadas estão a WildFireDecryptor e a CoinVaultDecryptor, que se concentram em ajudar as vítimas a recuperar os seus dados.

A No More Ransom foi lançada pela Polícia Nacional Holandesa, a Europol, a McAfee e a Kaspersky e já conta com 163 parceiros em todo o mundo, incluindo a Polícia Judiciária. O portal, que fornece recursos úteis às vítimas de ransomware, está atualmente disponível em 36 línguas e incluiu 28 novas ferramentas no último ano, sendo capaz de decifrar 140 tipos diferentes de infeções de ransomware.

Para manter a sua empresa protegida contra ataques de ransomware, os especialistas da Kaspersky recomendam:

• Não expor os serviços remotos (como o RDP) a redes públicas sem que seja absolutamente necessário e utilizar sempre palavras-passe fortes para os mesmos.

• Manter sempre o software atualizado em todos os dispositivos que utiliza. Para evitar que o ransomware se aproveite de possíveis vulnerabilidades, utilize ferramentas que possam detetá-las automaticamente e descarregar e instalar correções.

• Instalar, assim que possível, as correções disponíveis para soluções VPN comerciais que proporcionem o acesso a colaboradores que estejam a trabalhar remotamente e que atuem como portas de entrada na rede.

• Tratar anexos de e-mail ou mensagens de pessoas que não conhece com cautela. Em caso de dúvida, não as abra.

• Utilizar soluções como o Kaspersky Endpoint Detection and Response e o Kaspersky Managed Detection and Response para identificar e deter o ataque numa fase inicial, antes de os atacantes completarem o seu objetivo.

• Focar a sua estratégia de defesa na deteção de movimentos laterais e de filtração de dados na Internet. Prestar especial atenção ao tráfego de saída para detetar ligações de cibercriminosos. Fazer regularmente cópias de segurança dos dados. Ter a certeza que é possível ter-lhes acesso rapidamente em caso de emergência ou quando necessário.

• Para proteger o ambiente corporativo, os colaboradores devem receber formação. É possível encontrar alguns cursos para a formação de equipas na Kaspersky Automated Security Awareness Platform. Por exemplo, uma aula gratuita sobre como proteger contra ataques de ransomware está disponível aqui.

• Para dispositivos pessoais, utilizar uma solução de segurança de confiança como o Kaspersky Security Cloud que protege contra malware de encriptação de ficheiros e permite reverter as alterações feitas por aplicações maliciosas.

• No caso de uma empresa, melhorar a sua proteção com a ferramenta gratuita Anti-Ransomware Tool for Business da Kaspersky. A sua versão recentemente atualizada contém uma funcionalidade de prevenção de exploração para evitar que o ransomware e outras ameaças explorem as vulnerabilidades de software e aplicações. Também é útil para clientes que utilizam o Windows 7: com o fim do suporte, as novas vulnerabilidades deste sistema não serão corrigidas.

• Para uma proteção superior, utilizar uma solução de segurança para endpoint, como a Integrated Endpoint Security, baseada na prevenção de exploits, na deteção com base no comportamento e num motor de remediação capaz de reverter ações maliciosas.