Trace Id is missing

Economia da extorsão

Baixar
Compartilhar
Um labirinto branco com círculos e pontos coloridos

Cyber Signals Edição 2: O novo modelo de negócios de ransomware

Enquanto o ransomware continua sendo um tema que domina as manchetes, existe um ecossistema relativamente pequeno e interligado de atores impulsionando este setor econômico do crime cibernético. A especialização e consolidação do mercado do cibercrime impulsionaram o ransomware como serviço (RaaS) a se tornar um modelo de negócios dominante. Isso permite criminosos de todos os níveis técnicos possam implantar ataques de ransomware.
Mais de 80% dos ataques de ransomware estão ligado a erros comuns de configuração em softwares e dispositivos.1

Assista ao resumo digital Cyber Signals, onde Vasu Jakkal, CVP de Segurança da Microsoft, entrevista especialistas em inteligência contra ameaças sobre o mercado do ransomware e como as organizações podem se proteger.

Resumo digital: Protegendo-se contra o mercado do ransomware

Novo modelo de negócios oferece novas perspectivas para os defensores

Assim como muitos setores migraram para a contratação de trabalhadores autônomos em busca de eficiência, os criminosos cibernéticos estão alugando ou vendendo suas ferramentas de ransomware em troca de uma parte dos lucros, ao invés de realizar os ataques por conta própria.

O Ransomware como Serviço permite que os cibercriminosos comprem acesso a payloads de ransomware e vazamento de dados, bem como a infraestrutura de pagamento. As chamadas "gangues" de ransomware são, na verdade, programas RaaS como Conti ou REvil, usados por diversos atores que alternam entre diferentes programas e payloads de RaaS.

O RaaS reduz as barreiras de entrada e torna mais difícil identificar os invasores por trás dos ataques de ransomware. Alguns programas contam com mais de 50 "afiliados", como chamam os usuários desses serviços, cada um com suas próprias ferramentas, técnicas e objetivos. Assim como qualquer pessoa com um carro pode trabalhar para um serviço de carona compartilhada, qualquer um com um laptop e um cartão de crédito pode procurar na dark web por ferramentas de teste de penetração ou malware pronto para uso e entrar nesse mercado.

A industrialização dos crimes cibernéticos criou funções especializadas, como os corretores de acesso que vendem entradas em redes comprometidas. Um único ataque pode envolver vários cibercriminosos em diferentes fases da invasão.

Os kits de RaaS são fáceis de encontrar na dark web e são anunciados como qualquer outro produto na internet.

Um kit RaaS pode incluir suporte ao cliente, pacotes de ofertas, avaliações de usuários, fóruns e outras funcionalidades. Os criminosos cibernéticos podem pagar um preço fixo por um kit RaaS, enquanto outros grupos que vendem RaaS em um modelo de afiliado recebem uma porcentagem dos lucros.

Os ataques de ransomware são baseados em decisões que levam em conta as configurações de redes e variam para cada vítima, mesmo quando o payload de ransomware é o mesmo. Um ataque de ransomware culmina em um ataque que pode incluir exfiltração de dados e outros impactos. Como o mercado do crime cibernético é tão interligado, invasões que parecem não ter relação podem se acumular umas nas outras. Malwares que roubam informações, como senhas e cookies, podem parecer menos graves, mas os criminosos cibernéticos vendem essas senhas para possibilitar outros ataques.

Esses ataques normalmente começam com o acesso inicial através de uma infecção por malware ou exploração de uma vulnerabilidade, seguido pelo roubo de credenciais para aumentar privilégios e se espalhar pela rede. A industrialização permite que tornou possível que ataques de ransomware eficazes e de grande impacto sejam realizados por invasores que não possuem sofisticação ou habilidades avançadas. Desde o desmantelamento do grupo Conti, observamos mudanças na cenário do ransomware. Alguns afiliados que distribuíam o Conti migraram para payloads de ecossistemas RaaS já estabelecidos, como LockBit e Hive, enquanto outros passaram a implantar payloads de vários ecossistemas RaaS ao mesmo tempo.

Novos RaaS, como QuantumLocker e Black Bastam estão ocupando o espaço deixado pelo desmantelamento do Conti. Já que a maioria das coberturas de ransomware se concentra em payloads em vez de atores, essa mudança de payloads pode confundir os governos, autoridades judiciárias, veículos de mídia, pesquisadores de segurança e defensores sobre quem está por trás dos ataques.

Pode parecer que reportar sobre ataques de ransomware é um problema que só cresce, No entanto, trata-se de um número limitado de atores utilizando um conjunto específico de técnicas.

Recomendações:

  • Estabeleça uma prática de higiene de credenciais: desenvolva uma segmentação lógica da rede com base em privilégios que possam ser implementados juntamente com a segmentação da rede para limitar o movimento lateral.
  • Faça auditoria da exposição de credenciais: a auditoria da exposição de credenciais é fundamental para evitar ataques de ransomware e crimes cibernéticos em geral. As equipes de segurança de TI e os centros de operações de segurança (SOCs) podem trabalhar juntos para reduzir os privilégios administrativos e entender o nível de exposição de suas credenciais.
  • Reduza a superfície de ataque: Estabeleça regras de redução da superfície de ataque para evitar técnicas de ataque comuns usadas em ataques de ransomware. Em ataques observados de diversos grupos de atividade associados aos ataques de ransomware, organizações com regras bem estabelecidas conseguiram mitigar os ataques em suas fases iniciais e, ao mesmo tempo, evitar atividades manuais de invasão ao sistema.

Cibercriminosos adotam a extorsão dupla como estratégia de ataque

O objetivo do ransomware é extorquir pagamentos de suas vítimas. Atualmente, a maioria dos programas de RaaS também vaza os dados roubados, prática conhecida como extorsão dupla. Com o aumento da repressão governamental e as consequências negativas das interrupções, alguns grupos estão abandonando o ransomware para se dedicarem exclusivamente à extorsão de dados.

Dois grupos especializados em extorsão são o DEV-0537 (também conhecido como LAPSUS$) e o DEV-0390 (um ex-afiliado do grupo Conti). As invasões do grupo DEV-0390 começam com malware, mas utilizam ferramentas legítimas para exfiltrar dados e extorquir pagamentos. Eles empregam ferramentas de teste de penetração como Cobalt Strike, Brute Ratel C4 e a ferramenta legítima de gerenciamento remoto Atera para manter acesso às redes das vítimas. O DEV-0390 elevado privilégios roubando credenciais, busca dados sensíveis (geralmente em servidores de backup e arquivos corporativos) e envia esses dados para um site de compartilhamento de arquivos na nuvem usando uma ferramenta de backup de arquivos.

O DEV-0537 adota uma estratégia e técnicas operacionais bem diferentes. O acesso inicial é obtido através da compra de credenciais no submundo criminoso ou diretamente de funcionários das organizações visadas.

Problemas

  • Senhas roubadas e identidades desprotegidas
    Mais do que malware, os invasores precisam de credenciais para ter sucesso. Em quase todas as implementações de ransomware bem-sucedidas, os invasores conseguem acessar contas com administrativas com privilégios, que proporcionam amplo acesso à rede da organização.
  • Produtos de segurança ausentes ou desativados
    Em quase todos os incidentes de ransomware que foram observados, pelo menos um sistema explorado pelo ataque tinha produtos de segurança desativados ou configurados incorretamente, permitindo que os intrusos adulterassem ou desabilitassem certas proteções.
  • Aplicações mal configuradas ou mal utilizadas
    Você pode usar um aplicativo popular para um propósito, mas isso não impede que criminosos o utilizem para outros propósitos. Muitas vezes, as configurações "legadas" deixam um aplicativo em seu estado padrão, permitindo que qualquer usuário tenha acesso irrestrito em toda a organização. Não ignore esse risco ou hesite em alterar as configurações dos aplicativos por medo de causar interrupções.
  • Atualizações lentas
    É clichê, tipo "Coma seus legumes!" – mas é uma verdade incontestável: A melhor maneira de fortalecer um software é mantê-lo atualizado. Embora alguns aplicativos baseados em nuvem se atualizem sem precisar da ação do usuário, é essencial que as empresas apliquem imediatamente os patches fornecidos por outros fornecedores. Em 2022, a Microsoft observou que vulnerabilidades antigas ainda são um dos principais fatores que impulsionam os ataques.
  • Senhas roubadas e identidades desprotegidas
    Mais do que malware, os invasores precisam de credenciais para ter sucesso. Em quase todas as implementações de ransomware bem-sucedidas, os invasores conseguem acessar contas com administrativas com privilégios, que proporcionam amplo acesso à rede da organização.
  • Produtos de segurança ausentes ou desativados
    Em quase todos os incidentes de ransomware que foram observados, pelo menos um sistema explorado pelo ataque tinha produtos de segurança desativados ou configurados incorretamente, permitindo que os intrusos adulterassem ou desabilitassem certas proteções.
  • Aplicações mal configuradas ou mal utilizadas
    Você pode usar um aplicativo popular para um propósito, mas isso não impede que criminosos o utilizem para outros propósitos. Muitas vezes, as configurações "legadas" deixam um aplicativo em seu estado padrão, permitindo que qualquer usuário tenha acesso irrestrito em toda a organização. Não ignore esse risco ou hesite em alterar as configurações dos aplicativos por medo de causar interrupções.
  • Atualizações lentas
    É clichê, tipo "Coma seus legumes!" – mas é uma verdade incontestável: A melhor maneira de fortalecer um software é mantê-lo atualizado. Embora alguns aplicativos baseados em nuvem se atualizem sem precisar da ação do usuário, é essencial que as empresas apliquem imediatamente os patches fornecidos por outros fornecedores. Em 2022, a Microsoft observou que vulnerabilidades antigas ainda são um dos principais fatores que impulsionam os ataques.

Ações

  • Auntenticar identidades Implemente a autenticação multifator (MFA) em todas as contas, dando prioridade para administradores e outras funções sensíveis. Com uma força de trabalho híbrida, exija MFA em todos os dispositivos, em todos os locais e a todo momento. Habilite autenticação sem senha, como chaves FIDO ou Microsoft Authenticator, para aplicativos compatíveis.
  • Resolver pontos cegos de segurança
    Assim como os detectores de fumaça, os produtos de segurança devem ser instalados nos locais corretos e testados com frequência. Verifique se as ferramentas de segurança estão operando na configuração mais segura e que nenhuma parte da rede esteja desprotegida.
  • Proteger os ativos expostos à internet
    Considere excluir aplicativos duplicados ou não usados para eliminar serviços arriscados e desnecessários. Tenha cuidado com permissões de aplicativos de ajuda remota, como o TeamViewer. Eles são frequentemente visados por atores de ameaças para obter acesso rápido a laptops.
  • Mantenha os sistemas atualizados
    Fazer com que o inventário de softwares seja um processo contínuo. Acompanhe o que está sendo usado e priorize o suporte para esses produtos. Use sua capacidade de aplicar patches rapidamente para avaliar onde a transição para serviços baseados em nuvem é vantajosa.

Entendendo a natureza interconectada das identidades e relações de confiança nos ecossistemas tecnológicos modernos, eles visam empresas de telecomunicações, tecnologia, serviços de TI e suporte para usar o acesso de uma organização para entrar nas redes de parceiros ou fornecedores. Ataques que visam apenas a extorsão mostram que os defensores de redes precisam ir além do ransomware final e ficar de olho na exfiltração de dados e movimentação lateral.

Se um ator de ameaças planeja extorquir uma organização para manter seus dados privados, um payload de ransomware é a parte menos significativa e valiosa da estratégia de ataque. No fim das contas, é escolha do operador o que ele decide implantar, e o ransomware nem sempre é o grande prêmio que todo ator de ameaças procura.

Embora o ransomware ou a extorsão dupla possam parecer consequências inevitáveis de um ataque por um invasor sofisticado, o ransomware é um desastre que pode ser evitado. Os invasores dependem de vulnerabilidades de segurança, portanto, investir em higiênica cibernética têm um grande impacto.

A visibilidade única da Microsoft nos dá uma perspectiva sobre a atividade dos atores de ameaças. Em vez de confiar em postagens de fóruns ou vazamentos de conversas, nossa equipe de especialistas em segurança estuda novas táticas de ransomware e desenvolve inteligência contra ameaças que orienta nossas soluções de segurança.

A proteção integrada contra ameaças em dispositivos, identidades, aplicativos, emails, dados e nuvem nos ajuda a identificar ataques que poderiam ser atribuídos a múltiplos atores, quando na verdade são um único grupo de criminosos cibernéticos. Nossa Unidade de Crimes Digitais, composta por especialistas técnicos, legais e corporativos, continua trabalhando com as autoridades para combater os crimes cibernéticos

Recomendações:

Fortaleça a nuvem: à medida que os invasores migram para os recursos da nuvem, é importante proteger esses recursos e as identidades, bem como as contas locais. As equipes de segurança devem se concentrar em fortalecer a infraestrutura de identidade de segurança, aplicar a autenticação multifator (MFA) em todas as contas e tratar os administradores da nuvem/administradores locatários com o mesmo nível de segurança e higiene de credenciais que os administradores de domínio.
Previna o acesso inicial: evite a execução de códigos gerenciando macros e scripts e habilitando as Regras de Redução da Superfície de Ataque.
Fechar pontos cegos de segurança: as organizações devem verificar se as ferramentas de segurança estão funcionando na configuração ideal e realizar varreduras regulares na rede para garantir que os produtos de segurança estão protegendo todos os sistemas.

A Microsoft oferece recomendações detalhadas em  https://go.microsoft.com/fwlink/?linkid=2262350.

Ouça a analista de inteligência contra ameaças, Emily Hacker, falando sobre como sua equipe se mantém atualizada com as mudanças no cenário de ransomware como serviço.

Unidade de Crimes Digitais da Microsoft (DCU):
No período de julho de 2021 a junho de 2022, direcionou a remoção de mais de 531.000 URLs de phishing diferentes e 5.400 kits de phishing, resultando na identificação e encerramento de mais de 1.400 contas de email maliciosas usadas para coletar credenciais de clientes.1
Ameaças por email:
o tempo médio para um invasor acessar seus dados privados caso você seja vítima de um email de phishing é de 1 hora e 12 minutos.1
Ameaças em pontos de extremidade:
o tempo médio para um invasor começar a se movimentar lateralmente dentro da sua rede corporativa caso um dispositivo seja comprometido é de 1 hora e 42 minutos.1
  1. [1]

    Metodologia: Para os dados do instantâneos de relatório, as plataformas da Microsoft, incluindo o Defender e o Azure Active Directory, bem como a nossa Unidade de Crimes Digitais, forneceram dados anonimizados sobre atividades de ameaça, como contas de email maliciosas, emails de phishing e movimentação de invasores dentro das redes. Os insights adicionais vêm dos 43 trilhões de sinais de segurança diários captados pela Microsoft, abrangendo nuvem, pontos de extremidade, a borda inteligente e nossas Equipes de respostas e Equipe de segurança para recuperação de comprometimento (CRSP).

Cyber Signals Resiliência cibernética Ransomware Atores de ameaças

Perfil de Especialista: Emily Hacker

A analista de inteligência contra ameaças, Emily Hacker, discute como sua equipe se mantém atualizada sobre as mudanças no cenário do ransomware como serviço e as medidas que tomam para ajudar a capturar atores antes que o ransomware seja implantado.
Saiba mais

Cyber Signals: Edição 3: O crescimento da IoT e o risco para a OT

O aumento da circulação de IoT está colocando a OT em risco, com diversas vulnerabilidades em potencial e exposição a atores de ameaças. Descubra como manter sua organização protegida
Saiba mais

Cyber Signals: Edição 1

A identidade é o novo campo de batalha. Receba insights sobre as ameaças cibernéticas em constante evolução e saiba quais medidas tomar para proteger melhor sua organização.
Saiba mais

Siga a Segurança da Microsoft