RaaS:Ataques de ransomware na cadeia de suprimentos simplificados

Com a nuvem se tornando o principal meio de acessar um número crescente de ofertas de software, parece que cada aplicativo está migrando para um modelo de entrega “como serviço” atualmente. Portanto, não deve ser surpresa que o ransomware saltou para o movimento da nuvem.

Conheça o ransomware-as-a-service (RaaS), um meio pré-empacotado e fácil de implantar para bloquear as redes de dados e extorquir o pagamento de seus proprietários - geralmente na forma de Bitcoin ou outro tipo de criptomoeda - para desbloqueá-las .

Como as formas mais populares de serviços gerenciados, o RaaS pode incluir suporte técnico 24 horas por dia e fóruns de usuários dedicados a obter o máximo do aplicativo. Os compradores podem adquirir a “solução” de várias maneiras, incluindo assinatura mensal, taxas de licença únicas ou participação nos lucros com o fornecedor do software. Seja como for, o RaaS tem um objetivo comum:infligir o caos digital e obter grandes lucros no processo. É um dos principais motivos pelos quais as receitas de ransomware dispararam para cerca de US $ 20 bilhões nos EUA no ano passado, de acordo com a Cybersecurity Ventures.

Supostamente disponível na dark web por volta de 2016, o RaaS aumentou rapidamente desde então como um meio de propagação de ransomware. A cadeia de suprimentos global, composta por vários parceiros independentes de todos os tamanhos e graus de sofisticação tecnológica, é especialmente vulnerável a ataques. Grandes fabricantes, distribuidores e varejistas podem pensar que estão seguros, tendo gasto milhões em rígidas medidas de segurança em suas próprias casas, mas o menor e mais irrelevante fornecedor pode servir como uma porta de entrada para uma riqueza de dados confidenciais sobre clientes e operações. Segundo algumas estimativas, dois terços de todos os ataques cibernéticos estão ocorrendo atualmente através da cadeia de suprimentos.

Dispositivos móveis, que explodiram em número e aplicativos na última década, são vetores populares de infecção. “Digamos que um subcontratado de um desenvolvedor esteja chegando para construir uma extensão de software baseada em API para um cliente”, disse Padmini Ranganathan, vice-presidente global de estratégia de produto da SAP Procurement. “Como você sabe que o código deles é seguro? Ou que eles estão protegendo os dispositivos que estão usando? ”

As redes precisam estar igualmente vigilantes na proteção de sistemas embarcados na nuvem, diz Ranganathan. E, embora a tecnologia em nuvem não seja uma ameaça automática à segurança, ela aumenta os níveis de risco com a proliferação de dispositivos conectados à Internet das coisas. As empresas precisam responder realizando auditorias rigorosas de todos os dispositivos e sistemas que têm acesso aos seus dados, tanto externa quanto internamente, diz ele.

Com o RaaS tornando mais fácil para os criminosos cibernéticos manterem redes em troca de resgate, poderíamos pensar que empresas privadas e agências governamentais estariam tomando um cuidado especial para proteger seus dados. A onda de ataques de ransomware nos últimos anos sugere que esse não é o caso. Só em 2021, as vítimas incluíram um oleoduto, um frigorífico, um distribuidor de produtos químicos, um fabricante de automóveis e até um serviço de balsas em Martha’s Vineyard. Parece não haver um padrão em relação à entidade sendo atingida - apenas que todas se mostraram vulneráveis ​​a uma forma de ataque que se tornou assustadoramente fácil de organizar.

Fornecedores menores - ou grandes, nesse caso - podem argumentar que não têm recursos para investir em segurança cibernética. Ranganathan sugere que eles não estão vendo o problema com o estado de espírito adequado. Para ter certeza, as medidas de segurança adequadas podem ser caras para adquirir e servir como um entrave temporário no balanço patrimonial. Mas qual é o custo de recuperação de um ataque cibernético - especialmente um pedido de resgate que pode chegar a milhões de dólares? Ou as consequências da perda de clientes que estão furiosos porque seus dados pessoais confidenciais foram comprometidos devido à negligência de um varejista ou provedor de serviços? “Subestimamos o conceito de valor em risco”, diz Ranganathan.

Um aspecto importante da segurança cibernética não necessariamente custa mais. É a conscientização e diligência por parte dos funcionários sobre a ameaça de violações em qualquer número de sistemas e dispositivos. Nada deve ser confiável desde o início; frequentemente, um ataque bem-sucedido pode ser atribuído ao descuido humano, não a vulnerabilidades da tecnologia.

As técnicas dos hackers, é claro, continuam evoluindo. O ataque de ransomware de hoje provavelmente assumirá uma forma totalmente nova nos próximos anos. A tecnologia se esforçará para acompanhar a ameaça em constante mudança, mas a vigilância constante por parte dos projetistas de sistemas e até mesmo dos usuários mais casuais é fundamental.

As empresas precisam prestar a mesma atenção à segurança do sistema que prestam ao mundo mais deslumbrante das vendas, marketing e desenvolvimento de novos produtos. Diz Ranganathan:“Não podemos tirar os olhos da higiene arquitetônica em nome da inovação rápida.”