Código Morse e extorsão dupla:o estado do malware hoje

O ransomware não é estranho às redes corporativas, pois apresenta riscos enormes e esforços de recuperação ainda maiores, que são bastante caros. Ataques de ransomware bem-sucedidos podem resultar em sistemas bloqueados, roubo de identidade e dados mantidos como reféns, o que pode causar caos e desastre nas organizações visadas.
Quando o ransomware atinge seu alvo, o jogo praticamente termina. O malware criptografa arquivos e se espalha por todo o sistema para maximizar os danos, o que obriga muitas empresas a bloquear redes para interromper a propagação.

Embora a criptografia seja usada em todos os lugares, ela não deve ser confundida com hash ou ofuscação de arquivos. Técnicas de hash e ofuscação são úteis para evitar ferramentas de detecção, enquanto o ransomware toma seus dados como reféns por causa da criptografia.

Cada um usa diferentes tipos de criptografia, de cifras simétricas modernas a cifras assimétricas, com a ideia de evitar qualquer operação reversa sem uma chave.

Muitos tipos de ransomware exibem uma "nota especial" após a criptografia, determinando que a única maneira de descriptografar os arquivos é enviar Bitcoins para a carteira dos criminosos. No entanto, como sabemos, algumas formas de ransomware são decifrável e o resgate não precisa ser pago, ou o ônus não deve recair exclusivamente sobre o seguro cibernético. Por exemplo, Jigsaw, uma forma antiga de malware cunhada pela primeira vez em 2016, contém a chave usada para criptografar arquivos no código-fonte. Recentemente, vimos esse tipo de ataque emergir novamente este ano dentro do código Morse, provando que mesmo com a evolução do malware, os criminosos usarão o que funcionar, o que significa que as empresas precisam estar cientes não apenas das ameaças em evolução, mas também das velhas formas de ataque.

Ataques recentes não criptografam apenas dados. O malware também é capaz de exfiltrar informações críticas antes da criptografia. À medida que a proteção contra ransomware melhora, especialmente com estratégias de remoção e recuperação, os hackers estão usando dados roubados como uma nova alavanca para que ainda possam ameaçar as vítimas se não pagarem o resgate, criando uma ameaça dupla de ransomware.

Recentemente, observamos os agentes de ameaças adotando um modelo de “extorsão dupla”, no qual criptografam os dados do alvo e não apenas exigem um resgate pela sua devolução, mas também alavancam incentivos de pagamento adicionais para aumentar a pressão sobre a vítima para pagar o resgate. Alguns agentes de ameaças ainda usam uma abordagem mais direcionada e ameaçam divulgar publicamente ou leiloar os dados, a menos que a vítima pague, uma situação que destaca o risco de não cumprimento do Regulamento Geral de Proteção de Dados (GDPR) da UE e das centenas de dados políticas e leis de privacidade. Dois desses exemplos são Conti e REvil, ambos em nossa lista de Malware 2021 Nastiest, que são conhecidos por publicar dados vazados em sites obscuros se os resgates não forem pagos.

Uma forma crítica de melhorar a resiliência cibernética - a capacidade de resistir a ataques e garantir o acesso contínuo aos dados - é ter uma estratégia de backup sólida. No entanto, os esforços podem se tornar inúteis se as organizações se esquecerem de listar e identificar claramente seus requisitos e, em seguida, não testar seus procedimentos regularmente para evitar falhas massivas nos piores momentos.

A proteção de dados tem tudo a ver com a mitigação de riscos, e você precisa se fazer algumas perguntas importantes para ter o plano mais abrangente:

• Como seus dados se relacionam com suas operações comerciais ou receitas, e os dados precisam ser arquivados?
• Os dados residem em um sistema legado onde podem estar sujeitos a estruturas regulatórias que podem expor sua empresa a penalidades se os dados forem violados?
• Quais são os dados sem os quais sua empresa não pode funcionar?
• Quanto tempo pode demorar para restaurar esses dados?
• Quanto custaria uma restauração completa?

Os cibercriminosos continuarão a refinar suas abordagens e a fazer experiências com diferentes modelos de negócios, pois os ataques de ransomware evolucionários colocam uma enorme pressão na disponibilidade de serviços e fluxos de dados.

Enquanto esses adversários irão, sem dúvida, continuar a procurar maneiras adicionais de pressionar as vítimas para maximizar suas chances de serem pagos, você pode ter o poder de preservar o que é mais valioso para você hoje, implantando fortes práticas de resiliência cibernética, agora e no futuro.

David Dufour é vice-presidente de segurança cibernética e engenharia de inteligência de ameaças com Webroot e Carbonite, empresas OpenText.