Ataques de ransomware estão cada vez mais sofisticados
O ransomware é notícia nos jornais há vários anos consecutivos. Na busca por lucro, os criminosos têm visado quase todo o tipo de organizações, desde instituições de saúde e de ensino a prestadores de serviços e empresas industriais. A Kaspersky publicou um relatório que analisa o que aconteceu ao longo 2022, como está a ser 2023 e as principais tendências para este ano.
Em 2022, as soluções Kaspersky detetaram mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação a 2021 (61,7 milhões). Já no início de 2023, assistimos a um ligeiro declínio do número de ataques de ransomware. Porém, estes tornaram-se mais sofisticados e direcionados. Além disso, houve uma mudança drástica entre os grupos de ransomware mais influentes e prolíficos. Os REvil e Conti, que ocupavam, respetivamente, o 2.º e 3.º lugar em termos de ataques no primeiro trimestre de 2022 foram substituídos, nos primeiros três meses de 2023, pelos Vice Society e BlackCat. Dois dos outros grupos mais ativos atualmente são os Clop e os Royal.
Durante 2022, foram também descobertas modificações de ransomware multiplataforma que atraíram muita atenção dos analistas da Kaspersky. É o caso do Luna e do Black Basta. Os cibercriminosos tornaram-se ainda mais profissionais, com grupos como o BlackCat a melhorar e a aperfeiçoar as suas técnicas ao longo do ano. A situação geopolítica também está a ser explorada por alguns grupos de ransomware para promover os seus interesses, como o caso do ‘stealer’ Eternity, com os cibercriminosos a criar todo um ecossistema com uma nova variante do ransomware.
Para 2023, os peritos da Kaspersky apresentaram três tendências principais no desenvolvimento de ameaças de ransomware. A primeira refere-se à funcionalidade de auto-propagação ou uma imitação da mesma, com os Black Basta, LockBit e Play entre os exemplos mais significativos de ransomware que se propaga por si próprio.
Outra tendência emergente é a utilização abusiva de controladores para fins maliciosos. Algumas das vulnerabilidades dos controladores AV foram exploradas pelas famílias de ransomware AvosLocker e Cuba, sendo que a análise da Kaspersky mostra que até a indústria de jogos pode ser vítima deste tipo de ataque. Supostamente, o controlador anti-cheat Genshin Impact foi utilizado para eliminar a proteção de endpoint na máquina visada. Uma ameaça que também paira sobre vítimas de elevado perfil, como instituições governamentais em países europeus.
Por último, os especialistas da Kaspersky alertam para o facto de os maiores grupos de ransomware mundiais estarem a adotar código divulgado ou vendido por outros cibercriminosos para melhorar as funções do malware. Recentemente, o grupo LockBbit adotou, pelo menos, 25% do código Conti divulgado, e emitiu uma nova versão inteiramente baseada nele. Este tipo de iniciativas proporciona aos afiliados semelhanças e facilidades para trabalharem com famílias de ransomware com as quais já estavam habituados a trabalhar, podendo reforçar as suas capacidades ofensivas, o que deve ser tido em conta na estratégia de defesa das empresas.
“Os grupos de ransomware surpreendem-nos continuamente e nunca param de desenvolver as suas técnicas e procedimentos. O que temos vindo a observar ao longo do último ano e meio é que estão gradualmente a transformar os seus serviços em empresas de pleno direito. Este facto torna até os atacantes amadores bastante perigosos”, afirma Dmitry Galov, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky. “Por isso, para proteger a sua empresa e os seus dados pessoais, é muito importante manter os seus serviços de cibersegurança atualizados.”