Os pagamentos de ransomware ransomware feitos no ano passado, cujo custo médio ficou entre US $ 1 milhão e US $ 2 milhões, atraíram novos grupos para o cibercrime, que se concentrou em grandes empresas, principalmente na América do Norte e na Europa. Estudo global da empresa de segurança cibernética Group-IB revela que os ataques de ransomware mais do que dobraram em 2020 e aumentaram em escala e sofisticação.
Com base em dados de mais de 500 ataques analisados no trabalho de resposta a incidentes, o Group-IB produziu um relatório abrangente para fornecer uma visão geral da evolução do negócio de ransomware e as táticas, técnicas e procedimentos (TTPs) usados nos ataques que resultaram em a criptografia dos sistemas da vítima.
Os ataques de ransomware ficaram maiores e mais dinâmicos, com as operações de alguns grupos de hackers proeminentes, embora alguns tenham sido encerrados por ação da lei ou tenham “se retirado”. No entanto, mais e mais operadores de ransomware agora têm sites de vazamento onde publicam dados roubados de vítimas que não pagam o resgate.
Além disso, outros grupos iniciaram operações que seguiram o modelo bem-sucedido de ransomware como serviço (RaaS), os chamados programas de afiliados, ou lidaram com todos os estágios do ataque, desde encontrar e comprometer as vítimas até implantar malware de criptografia. arquivos na rede da empresa da vítima e negociar o resgate.
Entre os novos participantes que se juntaram à indústria de ransomware de vários bilhões de dólares em 2020 estão Conti, Egregor e DarkSide. De acordo com os dados do Group-IB, as duas primeiras tornaram-se tão prolíficas que ocupam um lugar entre as cinco maiores gangues com mais ataques.
O relatório observa que todos os grupos seguem um modelo de negócios no qual todos os envolvidos se concentram no que fazem de melhor: desenvolvimento de malware, acesso inicial, movimentação lateral. Os lucros são compartilhados entre os operadores e afiliados do programa RaaS.
A equipe de análise forense digital e resposta a incidentes (DFIR) do Group-IB descobriu que 64% de todos os ataques de ransomware que analisou em 2020 vieram de operadores usando o modelo RaaS. A prevalência de programas afiliados no submundo do crime cibernético foi a tendência predominante no ano passado.
De acordo com os dados do Group-IB, essa abordagem levou a um aumento de 150% nos ataques no ano passado e um aumento no valor médio do resgate para US $ 170.000. Esses números são semelhantes às estatísticas da empresa de remediação de ransomware Coveware, que viu uma cobrança média de resgate de US $ 154.108 no quarto trimestre de 2020.
No entanto, os atores mais gananciosos, como Maze, DoppelPaymer, ProLock e RagnarLocker, exigiram resgates muito maiores, com média entre $ 1 milhão e $ 2 milhões. Mas houve pagamentos de valores bem superiores, que chegaram a US $ 34 milhões.
O Grupo IB afirma que, em termos de impacto nas vítimas, os ataques de ransomware causaram em média 18 dias de inatividade no ano passado.
Para o acesso inicial a uma rede, os operadores de ransomware normalmente contavam com botnets como Trickbot, Qakbot, Bazar, Buer ou IcedID, com quem fizeram parceria especificamente para esse propósito.
Normalmente, os hackers passam 13 dias na rede comprometida antes de implementar o processo de criptografia. Durante esse tempo, eles se movem pela rede e aumentam seu controle, identificam e removem backups para aumentar o impacto do ataque.
O principal vetor de comprometimento foram os serviços remotos externos, principalmente RDP (Remote Desktop Protocol), seguido pelo phishing e exploração de aplicativos voltados ao público em geral (Citrix, WebLogic, servidores VPN, Microsoft Exchange).
Para ajudar as empresas a se manterem atualizadas sobre como as gangues de ransomware operam, o Group-IB mapeou os TTPs mais comuns vistos durante suas ações de resposta a incidentes, de acordo com a base de conhecimento Mitre ATT & CK.
Com base em suas descobertas, os pesquisadores prevêem que a ameaça do ransomware continuará a crescer e os atores se adaptarão para torná-la ainda mais lucrativa, usando variantes do Linux com mais frequência e avançando ou mudando suas técnicas – por exemplo, foco no roubo de dados para extorsão e abandono criptografia.
Além disso, comprometer redes corporativas para revenda a afiliados de ransomware se tornará um mercado mais lucrativo, pois mais jogadores desejarão entrar no jogo que gera muito dinheiro. O Grupo IB também afirma que mais atores de ameaças apoiados pelo Estado estarão envolvidos tanto para recompensas financeiras quanto para fins perturbadores.
Oleg Skulkin, analista forense digital sênior do Group-IB, diz que o ransomware se tornou “uma indústria multibilionária organizada com competição interna, líderes de mercado, alianças estratégicas e vários modelos de negócios”.
Fonte: CisoAdvisor
