O terceiro relatório anual da Barracuda revelou que os ataques cibernéticos estão aumentando e destaca que a segurança é um grande risco para as empresas
A Barracuda lançou seu terceiro relatório anual de pesquisa de ameaças sobre ransomware, que analisa os padrões de ataque de ransomware ocorridos entre agosto de 2020 e julho de 2021. O relatório descobriu que os ataques de ransomware aumentaram em 2021, com o número de ataques aumentando drasticamente e os valores de resgate em disparo.
Os cibercriminosos também estão expandindo seus alvos, mudando seu foco para infraestrutura crítica e evoluindo para campanhas de ataque à cadeia de suprimentos de software profundamente enraizadas, o que pode causar uma devastação duradoura.
A perspectiva sombria para o futuro do ransomware não deixa ninguém poupado de danos financeiros ou manchetes destruidoras de marcas. Os criminosos de ransomware estão penetrando na base da economia digital, de fornecedores de software confiáveis a provedores de serviços de TI. Muitos desses ataques estão sendo liderados por um punhado de gangues de ransomware de alto nível.
A análise de Barracuda de ataques de ransomware que ocorreram entre agosto de 2020 e julho de 2021 mostrou que REvil foi responsável por 19% dos ataques e DarkSide é conhecido por ser a causa de 8%.
Na verdade, os criminosos recentemente refinaram suas táticas para criar um esquema de extorsão dupla. Eles baseiam seus pedidos de resgate em pesquisas que realizam antes do ataque. Eles roubam dados confidenciais de suas vítimas e exigem pagamento em troca da promessa de não publicar ou vender os dados a outros criminosos. Como os criminosos não são confiáveis, as vítimas que pagam são frequentemente contatadas vários meses depois e solicitadas a fazer outro pagamento para manter os dados roubados em segredo. Alguns criminosos de ransomware aceitam pagamento, mas vendem os dados de qualquer maneira.
Os pesquisadores do Barracuda identificaram e analisaram 121 incidentes de ransomware ocorridos entre agosto de 2020 e julho de 2021 e viram um aumento de 64% nos ataques, ano após ano.
Os cibercriminosos ainda têm como alvo principal os municípios, saúde e educação, mas os ataques a outras empresas estão aumentando:
- Ataques a empresas, como infraestrutura, viagens, serviços financeiros e outros negócios, representaram 57% de todos os ataques de ransomware entre agosto de 2020 e julho de 2021, ante apenas 18% no estudo de 2020.
- Negócios relacionados à infraestrutura são responsáveis por 10% de todos os ataques que a empresa estudou.
- O valor do resgate está aumentando dramaticamente e agora a média de pedidos de resgate por incidente é de mais de US$ 10 milhões. Um total de 8% dos incidentes teve um pedido de resgate inferior a US$ 10 milhões e 14% dos incidentes teve um pedido de resgate superior a US$ 30 milhões.
- Os ataques de ransomware estão se tornando generalizados em todo o mundo. Quase metade (44%) dos ataques nos últimos 12 meses atingiram organizações dos EUA. Em comparação, 30% dos incidentes aconteceram na EMEA, 11% em países da Ásia-Pacífico, 10% na América do Sul e 8% no Canadá e no México. Os padrões de ataque de ransomware também estão evoluindo.
“Os invasores geralmente começam com pequenas organizações que estão conectadas a alvos maiores e depois avançam. Todos nós do setor de segurança temos a obrigação de transformar tecnologia sofisticada em produtos e serviços que possam ser facilmente consumidos pelos clientes”, disse Fleming Shi, CTO, Barracuda.
Em vez de simplesmente depender de links e anexos maliciosos para entregar ransomware, os cibercriminosos estão aprimorando suas táticas. Primeiro, os invasores encontrarão maneiras de roubar credenciais por meio de ataques de phishing e, em seguida, usarão as credenciais roubadas para desafiar os aplicativos da Web usados pela vítima. Depois que o aplicativo é comprometido, o invasor pode introduzir ransomware e outros malwares no sistema. Isso pode infectar sua rede e, também, os usuários de seu aplicativo.
É importante observar que os aplicativos da web têm muitos formulários, incluindo aqueles que permitem que os usuários trabalhem em casa. Um portal da web para um segmento de sua infraestrutura de TI é tão perigoso quanto um aplicativo SaaS completo. Em várias ocasiões no ano passado, os invasores exploraram uma vulnerabilidade do aplicativo para obter o controle da infraestrutura do aplicativo e, eventualmente, direcionar os dados mais valiosos para criptografar.
Desde a adoção mais ampla da criptomoeda, a Barracuda também observou uma correlação de ataques de ransomware maiores e valores de resgate mais altos. Com o aumento da repressão ao bitcoin e rastreamento bem-sucedido de transações, os criminosos estão começando a fornecer métodos de pagamento alternativos, como a gangue de ransomware REvil pedindo Monero em vez de bitcoin.
No entanto, a empresa Barracuda também viu várias instâncias de vítimas reduzindo os pagamentos de resgate ao implantar táticas de negociação. A JBS negociou um resgate de US$ 22,5 milhões para US$ 11 milhões e a Brenntag, distribuidora de produtos químicos na Alemanha, negociou um pedido de resgate de US$ 7,5 milhões para US$ 4,4 milhões. O pedido inicial de resgate pode não ser o pedido final, então, se eles planejam pagar, é importante que as vítimas do ransomware exerçam as opções de negociação. O resultado pode ser uma economia de milhões.
Barracuda também está vendo mais organizações se recusando a pagar o resgate e isso provavelmente está aumentando o pedido inicial de resgate. Essa tendência também é seguida por mais colaboração com as autoridades e negociadores de resgate. O FBI descobriu recentemente as carteiras bitcoin do DarkSide e foi capaz de recuperar alguns dos pagamentos do resgate e as autoridades interromperam os pagamentos às afiliadas do grupo de ransomware. Esses são sinais encorajadores na luta contra esses ataques cibernéticos.
O primeiro passo para adotar o ransomware é presumir que você será uma vítima – é apenas uma questão de tempo. A próxima coisa que você precisa fazer é estabelecer uma meta de não pagar o resgate. Com a meta definida, você precisa implementar pelo menos os três procedimentos a seguir para atingir essa meta.
1. Faça tudo o que puder para evitar a perda de credencial
• Implementar recursos anti-phishing em e-mail e outras ferramentas de colaboração e treinar consistentemente seus usuários para conscientização de segurança de e-mail.
2. Proteja seus aplicativos e acesso
• Além de usar o MFA, você também deve implementar a segurança do aplicativo da web para todos os seus aplicativos SaaS e pontos de acesso à infraestrutura.
• As vulnerabilidades do aplicativo geralmente estão ocultas no código do aplicativo ou na infraestrutura subjacente do aplicativo. Portanto, você deve proteger seus aplicativos das 10 principais ameaças OWASP.
• Se você tiver interações de API em seu aplicativo, também deve se certificar de que está coberto pelo OWASP API Security Top 10. Junto com a proteção de aplicativo, tente reduzir a quantidade de acesso que você fornece aos seus usuários sempre que puder. Se possível, restrinja o mínimo de acesso de que seus usuários precisam para serem produtivos. É melhor implementar Zero Trust Access com base em posturas de segurança de endpoint.
3. Faça backup de seus dados
• Mantenha-se atualizado com uma solução de proteção de dados segura que pode identificar seus ativos de dados críticos e implementar recursos de recuperação e desastres. Dessa forma, você pode ter certeza de dizer não aos criminosos de ransomware.
Os cibercriminosos estão trabalhando para obter maiores pagamentos no futuro; o setor de segurança precisa continuar a criar soluções que sejam facilmente consumíveis para empresas de todos os tamanhos.
Os invasores geralmente começam com pequenas organizações que estão conectadas aos alvos maiores e, em seguida, avançam.