DevSecOps

9 mai, 2024

Ransomware: estudo revela país mais atacado por cibercriminosos

Publicidade

Os ataques de ransomware, que consistem em “sequestrar” informações sigilosas e cobrar altos preços pela sua devolução, solidificaram sua posição como uma das táticas preferidas dos cibercriminosos no último ano. É o que apontou um relatório inédito desenvolvido pela empresa brasileira de cibersegurança, a Apura Cyber Intelligence.

Segundo o coordenador Marco Romer, houve crescimento na escala em termos de frequência e sofisticação nos ataques. “Os operadores de ransomware disseminaram o caos indiscriminadamente, atingindo empresas de todos os setores e quase todos os países do mundo. Novas cepas emergiram, enquanto outras desapareceram, e grupos notórios foram responsáveis por alguns dos ataques mais audaciosos registrados nos últimos anos”, explica.

Ransomware

Segundo o levantamento, os países que mais sofreram com esse tipo de ataques foram os Estados Unidos, com 44,5% das ocorrências, seguido do Reino Unido, com 5,6%, e Canadá, com 4,2%. As áreas mais visadas pelos criminosos foram Indústria e Manufatura, com 17,2%, Tecnologia da Informação, com 11,8%, e Saúde, com 8,9%.

Já o Brasil sofreu 1,8% dos ataques segundo informações indexadas pelas ferramentas da Apura, em especial BTTng, que varre a internet em busca de potenciais ameaças. No país, a área mais afetada foi Tecnologia e Informação, com 15,7%, seguida de Saúde, 13,3%, e Consultoria, com 10,8%.

Vulnerabilidade

O especialista destaca que uma das evoluções marcantes nos crimes cibernéticos foi o aprimoramento de suas estratégias de invasão e exposição de vítimas. Esses criminosos optaram por explorar falhas de dia zero (vulnerabilidade de software de computador desconhecida) e realizar ataques à cadeia de suprimentos, intensificando a complexidade e os danos potenciais.

Buscando pressionar as vítimas a efetuarem os pagamentos exigidos, os grupos de ransomware inovaram em suas abordagens, utilizando métodos além dos tradicionais. A exposição de vítimas foi ampliada, incorporando a “surface web” com o uso de sites públicos, além dos já conhecidos sites na Dark Web. A exploração de APIs e torrents para download dos dados das vítimas tornou-se uma prática comum, elevando o grau de desespero das organizações atingidas.

“Alguns grupos chegaram ao extremo de denunciar suas vítimas aos órgãos reguladores, aumentando as pressões sobre as empresas para cederem às demandas de resgate”, revela Romer.

Principais ataques de ransomware do último ano

O último ano foi marcado por uma escalada significativa nos ataques de ransomware, com grupos cibercriminosos adotando táticas cada vez mais avançadas e impactando organizações em todo o mundo. Entre os destaques, três grupos se destacaram, deixando um rastro de caos e desafios para a segurança cibernética.

BlackCat/AlphV: A Ascensão do Mal em Rust

O grupo de ransomware BlackCat, também conhecido como AlphaVM, AlphaV ou ALPHV, surgiu pela primeira vez em novembro de 2021 e desde então tornou-se uma ameaça formidável. Notabilizando-se por ser a primeira grande família de ransomware escrita em Rust, uma linguagem de programação que facilita a personalização para diferentes sistemas operacionais, o BlackCat atingiu mais de 350 alvos somente em maio de 2023.

Entre as ações mais impactantes do grupo, destacam-se os ataques cibernéticos às redes de cassinos MGM e Caesars, executados pelo afiliado Scattered Spider. Esses eventos evidenciam a sofisticação do BlackCat e sua capacidade de atingir alvos de alta relevância.

Cl0p: Explorando Vulnerabilidades na Cadeia de Suprimentos

O grupo Cl0p, também conhecido como TA505, emergiu como uma ameaça significativa em 2023, não liderando o ranking de grupos mais ativos, mas ganhando destaque ao explorar falhas de dia zero na cadeia de suprimentos. Seus ataques, especialmente explorando as vulnerabilidades no GoAnywhere e na ferramenta MOVEit Transfer, afetaram centenas de organizações em todo o mundo.

A exploração de uma vulnerabilidade de injeção SQL desconhecida (CVE-2023-34362) no MOVEit Transfer e outra zero-day na plataforma GoAnywhere MFT (CVE-2023-0669) ressaltam a habilidade do Cl0p em encontrar e explorar pontos fracos em sistemas complexos.

8Base: O Ataque às Pequenas e Médias Empresas

O grupo de ransomware 8Base manteve uma presença constante desde abril de 2022. Especula-se que tenha vínculos com o RansomHouse, evidenciados por semelhanças nas notas de resgate. Atacando principalmente pequenas e médias empresas, o 8Base emprega dupla extorsão e uma variante do ransomware Phobos para criptografia.

No primeiro semestre de 2023, o grupo se destacou como um dos mais ativos, tornando-se o segundo grupo de ransomware com mais vítimas no Brasil, ficando atrás apenas do LockBit 3.0. Seus métodos de distribuição incluem anexos de e-mail, sites de torrent, anúncios maliciosos, phishing e kits de exploração, demonstrando uma ampla gama de estratégias para alcançar seus objetivos.

“Em um cenário cibernético cada vez mais desafiador, 2023 serve como um alerta para a necessidade de reforçar as defesas digitais e promover uma colaboração global para conter a crescente ameaça dos ransomwares”, ressalta o expert da Apura.

LEIA TAMBÉM