Trace Id is missing

Economia de extorsão

Um labirinto branco com círculos e pontos coloridos

Segunda Edição do Cyber Signals: O novo modelo empresarial de ransomware

Embora o ransomware continue a ser um tema de destaque, existe, em última análise, um ecossistema relativamente pequeno e interligado de intervenientes que lideram este setor da economia do cibercrime. A especialização e a consolidação da economia relativa ao cibercrime levaram a que o ransomware como serviço (RaaS) se tornasse um modelo de negócio dominante, permitindo que um leque mais vasto de criminosos, independentemente dos seus conhecimentos técnicos, pudesse implementar ransomware.
Mais de 80 por cento dos ataques de ransomware podem ser atribuídos a erros de configuração comuns em software e dispositivos.1

Veja o relatório digital do Cyber Signals onde Vasu Jakkal, CVP da Microsoft Security, entrevista os principais especialistas em informações sobre ameaças acerca da economia de ransomware e como as organizações podem proteger-se a si próprias.

Relatório digital: Como se proteger contra a economia do ransomware

O novo modelo de negócio oferece novas informações aos defensores

Tal como muitas indústrias passaram a utilizar trabalhadores por conta de outrem para aumentar a eficiência, os cibercriminosos estão a alugar ou a vender as suas ferramentas de ransomware por uma parte dos lucros, em vez de serem eles próprios a realizar os ataques.

O Ransomware como Serviço permite que os cibercriminosos comprem o acesso aos payloads de Ransomware e à fuga de dados, bem como à infraestrutura de pagamento. Os "gangues" de ransomware são, na realidade, programas RaaS como o Conti ou o REvil, utilizados por vários atores diferentes que alternam entre programas RaaS e payloads.

O RaaS diminui a fasquia de entrada e ofusca a identidade dos atacantes por detrás do resgate. Alguns programas têm mais de 50 "afiliados", que é como se referem aos utilizadores do seu serviço, com diferentes ferramentas, técnicas de trabalho e objetivos. Tal como qualquer pessoa com um carro pode conduzir para um serviço de partilha de viagens, qualquer pessoa com um portátil e um cartão de crédito, disposta a procurar ferramentas de teste de penetração ou malware pronto a utilizar na dark web, pode juntar-se a esta economia.

Esta industrialização do cibercrime criou funções especializadas, como os corretores de acesso que vendem acesso às redes. Um único comprometimento envolve, frequentemente, vários cibercriminosos em diferentes fases da intrusão.

Os kits de RaaS são fáceis de encontrar na dark web e são anunciados da mesma forma que os bens são anunciados na Internet.

Um kit de RaaS pode incluir apoio do suporte ao cliente, ofertas agrupadas, críticas de utilizadores, fóruns e outras funcionalidades. Os cibercriminosos podem pagar um preço fixo por um kit de RaaS, enquanto outros grupos que vendem RaaS ao abrigo do modelo de afiliados recebem uma percentagem dos lucros.

Os ataques de ransomware envolvem decisões baseadas em configurações de redes e diferem de vítima para vítima, mesmo que o payload do ransomware seja o mesmo. O ransomware culmina num ataque que pode incluir a transferência de dados não autorizada e outros impactos. Devido à natureza interligada da economia do cibercrime, as intrusões aparentemente não relacionadas podem desenvolver-se de forma complementar. O malware "infostealer" que rouba palavras-passe e cookies é tratado com menos gravidade, mas os cibercriminosos vendem essas palavras-passe para permitir outros ataques.

Estes ataques seguem um modelo de acesso inicial através de infeção por malware ou exploração de uma vulnerabilidade e, em seguida, roubo de credenciais para elevar os privilégios e moverem-se lateralmente. A industrialização permite que ataques de ransomware prolíficos e com impacto sejam efetuados por atacantes sem sofisticação ou competências avançadas. Desde o encerramento do Conti, observámos mudanças no panorama do ransomware. Alguns afiliados que estavam a implementar o Conti mudaram para payloads de ecossistemas RaaS estabelecidos, como o LockBit e o Hive, enquanto outros implementam simultaneamente payloads de vários ecossistemas RaaS.

Novos RaaS como o QuantumLocker e o Black Basta estão a preencher o vazio deixado pelo encerramento do Conti. Uma vez que a maioria da cobertura do ransomware se centra nos payloads em vez dos atores, esta mudança de payload é capaz de confundir os governos, as autoridades policiais, os meios de comunicação social, os investigadores de segurança e os defensores sobre quem está por detrás dos ataques.

A criação de relatórios sobre o ransomware pode parecer um problema de escala infinita; no entanto, na realidade trata-se de um conjunto finito de atores que utilizam um conjunto de técnicas.

Recomendações:

  • Crie normas de higiene de credenciais: desenvolva uma segmentação de rede lógica, baseada em privilégios que pode ser implementada juntamente com a segmentação da rede, para limitar o movimento lateral.
  • Audite a exposição das credenciais: a auditoria da exposição de credenciais é fundamental para evitar ataques de ransomware e o cibercrime em geral. As equipas de segurança de TI e os SOC podem trabalhar em conjunto para reduzir os privilégios administrativos e compreender o nível a que as suas credenciais estão expostas.
  • Reduza a superfície de ataque: Estabeleça regras de redução da superfície de ataque para prevenir técnicas de ataque comuns utilizadas em ataques de ransomware. Nos ataques observados de vários grupos de atividade associados ao ransomware, as organizações com regras claramente definidas conseguiram mitigar os ataques nas suas fases iniciais, prevenindo a prática de atividade manual com o teclado.

Os cibercriminosos acrescentam a dupla extorsão à estratégia de ataque

O ransomware existe para extorquir o pagamento de uma vítima. A maioria dos atuais programas de RaaS também divulga dados roubados, o que é conhecido como dupla extorsão. À medida que as interrupções de serviço causam reações adversas e a interferência governamental sobre os operadores de ransomware aumenta, alguns grupos abandonam o ransomware e procuram a extorsão de dados.

Dois grupos centrados na extorsão são o DEV-0537 (também conhecido por LAPSUS$) e o DEV-0390 (um antigo afiliado do Conti). As intrusões do DEV-0390 têm início no malware, mas utilizam ferramentas legítimas para a transferência de dados não autorizada e a extorsão de pagamentos. Implementam ferramentas de teste de penetração como o Cobalt Strike, o Brute Ratel C4 e o utilitário legítimo de gestão remota Atera, para manter o acesso a uma vítima. O DEV-0390 eleva os privilégios através do roubo de credenciais, localiza dados confidenciais (frequentemente em servidores de ficheiros e cópias de segurança empresariais) e envia os dados para um site de partilha de ficheiros na nuvem, através de um utilitário de cópia de segurança de ficheiros.

O DEV-0537 utiliza uma estratégia e uma metodologia muito diferentes. O acesso inicial é obtido através da compra de credenciais na criminalidade clandestina ou a colaboradores de organizações visadas.

Problemas

  • Palavras-passe roubadas e identidades não protegidas
    Mais do que malware, os atacantes precisam de credenciais para ter sucesso. Em quase todas as implementações bem-sucedidas de ransomware, os atacantes obtêm acesso a contas privilegiadas de nível de administrador que concedem amplo acesso à rede de uma organização.
  • Produtos de segurança em falta ou desativados
    Em quase todos os incidentes de ransomware observados, pelo menos um sistema explorado no ataque, tinha produtos de segurança em falta ou mal configurados, o que permitia aos intrusos adulterar ou desativar determinadas proteções.
  • Aplicações mal configuradas ou utilizadas de forma abusiva
    É possível que utilize uma aplicação popular para um determinado objetivo, mas isso não significa que os criminosos não a possam utilizar como arma para outro objetivo. Muitas vezes, as configurações "legadas" significam que uma aplicação está no seu estado predefinido, permitindo a qualquer utilizador um acesso alargado a toda a organização. Não ignore este risco nem hesite em alterar as definições da aplicação por receio de interrupções.
  • Aplicação demorada de patches
    É um cliché, como "Coma mais legumes!" - mas trata-se de um facto fundamental: A melhor forma de fortalecer o software é mantê-lo atualizado. Embora algumas aplicações baseadas na nuvem sejam atualizadas sem qualquer ação do utilizador, as empresas têm de aplicar imediatamente os patches de outros fornecedores. Em 2022, a Microsoft observou que as vulnerabilidades mais antigas continuam a ser o principal fator dos ataques.
  • Palavras-passe roubadas e identidades não protegidas
    Mais do que malware, os atacantes precisam de credenciais para ter sucesso. Em quase todas as implementações bem-sucedidas de ransomware, os atacantes obtêm acesso a contas privilegiadas de nível de administrador que concedem amplo acesso à rede de uma organização.
  • Produtos de segurança em falta ou desativados
    Em quase todos os incidentes de ransomware observados, pelo menos um sistema explorado no ataque, tinha produtos de segurança em falta ou mal configurados, o que permitia aos intrusos adulterar ou desativar determinadas proteções.
  • Aplicações mal configuradas ou utilizadas de forma abusiva
    É possível que utilize uma aplicação popular para um determinado objetivo, mas isso não significa que os criminosos não a possam utilizar como arma para outro objetivo. Muitas vezes, as configurações "legadas" significam que uma aplicação está no seu estado predefinido, permitindo a qualquer utilizador um acesso alargado a toda a organização. Não ignore este risco nem hesite em alterar as definições da aplicação por receio de interrupções.
  • Aplicação demorada de patches
    É um cliché, como "Coma mais legumes!" - mas trata-se de um facto fundamental: A melhor forma de fortalecer o software é mantê-lo atualizado. Embora algumas aplicações baseadas na nuvem sejam atualizadas sem qualquer ação do utilizador, as empresas têm de aplicar imediatamente os patches de outros fornecedores. Em 2022, a Microsoft observou que as vulnerabilidades mais antigas continuam a ser o principal fator dos ataques.

Ações

  • Autentique as identidades Imponha a autenticação multifator (MFA) em todas as contas, dê prioridade ao administrador e outras funções mais sensíveis. Com uma equipa de trabalhadores híbrida, exija a MFA em todos os dispositivos, em todos os locais e em todos os momentos. Ative a autenticação sem palavra-passe, como as chaves FIDO ou o Microsoft Authenticator, para as aplicações que a suportam.
  • Aborde os ângulos mortos da segurança
    Tal como os alarmes de fumo, os produtos de segurança devem ser instalados nos espaços corretos e testados frequentemente. Verifique se as ferramentas de segurança estão a funcionar na sua configuração mais segura e se nenhuma parte de uma rede está desprotegida.
  • Fortaleça os recursos voltados para à Internet
    Considere a possibilidade de eliminar aplicações duplicadas ou não utilizadas para eliminar serviços arriscados e não utilizados. Tenha em atenção onde permite aplicações de ajuda remota como o TeamViewer. Estas são notoriamente visadas por atores de ameaças para obter acesso expresso a portáteis.
  • Mantenha os sistemas atualizados
    Torne o inventário de software num processo contínuo. Mantenha um registo do que está a executar e dê prioridade ao suporte para esses produtos. Utilize a sua capacidade de aplicar patches de forma rápida e conclusiva para avaliar onde a transição para serviços baseados na nuvem é benéfica.

Compreendendo a natureza interligada das identidades e das relações de confiança nos ecossistemas tecnológicos modernos, eles têm como alvo as empresas de telecomunicações, tecnologia, serviços de TI e suporte, para tirar partido do acesso de uma organização para obter entrada em redes de parceiros ou fornecedores. Os ataques apenas de extorsão demonstram que os defensores de rede devem olhar para além do ransomware de fase final e manterem-se atentos à transferência de dados não autorizada e ao movimento lateral.

Se um ator de ameaças está a planear extorquir uma organização para que esta mantenha os seus dados privados, um payload de ransomware é a parte menos significativa e menos valiosa da estratégia de ataque. Em última análise, cabe ao operador escolher o que pretende implementar, e o ransomware nem sempre é o grande ganho que todos os atores de ameaças procuram.

Embora o ransomware ou a dupla extorsão possam parecer um resultado inevitável de um ataque de um atacante sofisticado, o ransomware é um desastre que pode ser evitado. O recurso a falhas de segurança por parte dos atacantes significa que os investimentos em ciber-higiene são muito importantes.

A visibilidade única da Microsoft dá-nos uma perspetiva sobre a atividade dos atores de ameaças. Em vez de se basear em publicações em fóruns ou fugas de chats, a nossa equipa de peritos em segurança estuda novas táticas de ransomware e desenvolve informações sobre ameaças que sustentam as nossas soluções de segurança.

A proteção contra ameaças integrada em dispositivos, identidades, aplicações, e-mail, dados e na nuvem, ajuda-nos a identificar ataques que teriam sido etiquetados como sendo de vários atores, quando na realidade são um único conjunto de cibercriminosos. A nossa Unidade de Crimes Digitais, composta por peritos técnicos, jurídicos e empresariais, continua a trabalhar com as autoridades policiais para desmantelar o cibercrime

Recomendações:

Fortaleça a nuvem: À medida que os atacantes se movimentam para os recursos na nuvem, é importante proteger estes recursos e identidades, bem como as contas no local. As equipas de segurança devem centrar-se no reforço da infraestrutura de identidade de segurança, na aplicação da autenticação multifator (MFA) em todas as contas e no tratamento dos administradores da nuvem/administradores de inquilinos, com o mesmo nível de segurança e normas de higiene de credenciais que os administradores de domínio.
Previna o acesso inicial: Previna a execução de código através da geração de macros e scripts e ao ativar as Regras de Redução da Superfície de Ataque.
Elimine os ângulos mortos da segurança: as organizações devem verificar se as suas ferramentas de segurança estão a funcionar com a configuração ideal e devem efetuar análises regulares à rede para garantir que existe um produto de segurança a proteger todos os sistemas.

A Microsoft tem recomendações pormenorizadas em  https://go.microsoft.com/fwlink/?linkid=2262350.

Conheça a opinião da Analista de Informações sobre Ameaças, Emily Hacker, sobre a forma como a sua equipa se mantém a par das mudanças no panorama do ransomware como serviço.

Unidade de Crimes Digitais (DCU) da Microsoft:
Conduziu a remoção de mais de 531 000 URLs de phishing exclusivos e 5400 kits de phishing entre julho de 2021 e junho de 2022, levando à identificação e encerramento de mais de 1400 contas de e-mail maliciosas, que eram utilizadas para recolher credenciais de clientes roubadas.1
Ameaças por e-mail:
O tempo médio para um atacante aceder aos seus dados privados, se for vítima de um e-mail de phishing, é de uma hora e 12 minutos.1
Ameaças de pontos finais:
O tempo médio para um atacante começar a mover-se lateralmente na sua rede empresarial, se um dispositivo for comprometido, é de uma hora e 42 minutos.1
  1. [1]

    Metodologia: Para os dados de instantâneos, as plataformas da Microsoft, incluindo o Defender e o Azure Active Directory, e a nossa Unidade de Crimes Digitais forneceram dados anónimos sobre a atividade de ameaças, como contas de e-mail maliciosas, e-mails de phishing e movimento de atacantes nas redes. As informações adicionais provêm dos 43 biliões de sinais de segurança diários obtidos em toda a Microsoft, incluindo a nuvem, os pontos finais, o edge inteligente e as nossas equipas de Prática de Recuperação de Segurança de Comprometimento e de Deteção e Resposta.

Perfil de Especialista: Emily Hacker

A Analista de Informações sobre Ameaças, Emily Hacker, fala sobre como a sua equipa se mantém a par do panorama de ransomware como serviço, em constante evolução, e as medidas que toma para ajudar a apanhar atores de pré-ransomware.

Cyber Signals: Terceira Edição: O crescimento da IoT e o risco para a OT

A circulação crescente da IoT está a pôr a OT em risco, com uma matriz de potenciais vulnerabilidades e exposição a atores de ameaças. Descubra como manter a sua organização protegida

Cyber Signals: Número 1

A identidade é o novo campo de batalha. Obtenha informações sobre ciberameaças em evolução e que passos seguir para proteger melhor a sua organização.

Siga o Microsoft Security