Para cada novo malware que surge, uma cadeia de produção é estruturada para criar um sistema rentável. Sendo o ransomware uma das ameaças digitais mais destruidoras dos últimos anos, e também uma das mais lucrativas, era questão de tempo para que surgisse o ransomware-as-a-service, também conhecido como ransomware 2.0.
De acordo com a Bitdefender, nesse modelo de lucro denominado ransomware 2.0 os operadores trabalham com diversos afiliados na cadeia de ataque a uma organização. Dessa forma, os operadores desenvolvem o malware e executam a infraestrutura, enquanto os afiliados, que se assemelham a um funcionário autônomo, trabalham como especialistas no comprometimento de redes.
Após a violação e implementação do malware, os operadores negociam e coletam o resgate, distribuindo a maior parte dos lucros para os afiliados.
Mas por que os cibercriminosos utilizam essa dinâmica?
Porque usar afiliados no desenvolvimento do golpe permite que os grupos executem operações em escala e ataquem várias organizações simultaneamente. Cada ataque bem-sucedido com o ransomware-as-a-service melhora processos e estratégias, além de aumentar os lucros de todos os participantes.
A estrutura do negócio é montada da seguinte forma:
1º) Afiliado invade a rede da vítima;
2º) Operador fornece código de ransomware com identificador único para o afiliado;
3º) Afiliado lança o ataque, roubando dados e criptografando dados com ransomware;
4º) Operador negocia resgate da base de dados com a vítima;
5º) Operador coleta o resgate e fornece chave para descriptografar os dados;
6º) Operador compartilha porcentagem do pagamento do resgate com os afiliados.
Portanto, esse novo modelo de negócio é uma forma extremamente rentável para todos os envolvidos, pois geralmente os dados empresariais roubados são essenciais para a sobrevivência das empresas.
Mesmo os afiliados recebendo uma porcentagem maior do lucro, pois são eles que têm acesso a rede das vítimas, os operadores utilizam a sua parte para investir em novas ferramentas, melhorar o entendimento de efetividade e projetar ganhos ainda maiores para os próximos ataques.
Como funcionam os ataques do ransomware-as-a-service
Anteriormente, os ataques de ransomware eram focados na monetização.
No modelo de participação nos lucros do ransomware 2.0, os cibercriminosos adotam táticas, técnicas e procedimentos que se assemelham à forma de ataque das ameaças persistentes avançadas (APT). Como já explicamos aqui no blog, esse tipo de ataque permite que o criminoso permaneça na rede durante dias, meses e até anos sem ser percebido.
Assim, os atacantes possuem uma série de processos a serem seguidos antes de entrar em contato com as vítimas. As etapas de implementação do ransomware-as-a-service acontecem da seguinte forma: Acesso inicial, staging, expansão e extorsão.
Confira um exemplo:
1ª etapa – Acesso inicial: Um usuário recebe um e-mail de phishing e, após abrir o link, a máquina é infectada;
2ª etapa – Staging: É estabelecido o reverse shell para um servidor de comando e controle;
3ª etapa – Expansão: Os afiliados executam sistemas de reconhecimento, identificação e comprometimento;
4ª etapa – Extorsão: Depois que os dados são extraídos, o ransomware é implantado e a vítima é contatada pelo operador, que cobra pelo resgate dos dados.
Entre as etapas de staging e expansão podem se passar dias ou semanas. Tudo irá depender do tamanho da empresa e da quantidade de informações valiosas que podem ser extraídas de seus sistemas.
Também conforme o manual da Bitdefender, os ataques escalonáveis automatizados (phishing) são usados para empresas menores. Por sua vez, as grandes corporações são alvo de campanhas de spear phishing, com textos de convencimento mais direcionados.
Para essas grandes empresas, com controles e processos de segurança mais maduros, o spear phishing e a engenharia social continuam sendo a principal forma de garantir o acesso inicial.
Como se proteger do Ransomware 2.0
Como já mencionamos aqui no blog, a melhor força de proteção é a prevenção.
Investir em infraestrutura de segurança de qualidade, que faça monitoramento 24/7 de possíveis ameaças e esteja disponível para qualquer emergência é sempre a melhor opção para evitar que um ataque aconteça.
É perceptível que as formas de ter a sua rede infectada pode acontecer de forma repentina. Um simples e-mail ou um único device comprometido pode colocar todos os dados da sua organização em risco.
Por isso, criar diretrizes e protocolos de segurança, que devem ser seguidos por todos os funcionários da empresa, são opções eficientes para impedir brechas nos sistemas.
É importante começar os esforços em cibersegurança reduzindo os perímetros suscetíveis a ataques, utilizando controles de prevenção automatizados. Além disso, é importante investir em ferramentas de detecção e resposta, que possam agir ativamente, reportando atividades suspeitas.
Ter uma equipe de cibersegurança é a chave para que você foque no crescimento da sua organização. Para isso, conte com o serviços da VNX Partners. Entre em contato com nossos especialistas e conheça nossas soluções.
Pingback: Empregos na área de Cibersegurança estão em alta em 2023