Ransomware as a service

A ascensão do ransomware como um serviço (RaaS)

É melhor prevenir do que remediar

14/03/2022
Ransomware as a service
É fundamental consolidar as defesas acrescentando camadas de segurança, "air-locking data" e outros bens digitais, mas o mesmo se passa com a alteração dos comportamentos dos funcionários

A adoção forçada de uma força de trabalho totalmente remota abriu a caixa de Pandora para especialistas em segurança cibernética. A transferência de dados foi estendida através de milhões de dispositivos e locais, em cada um deles tornou-se um potencial ponto de acesso para os hackers.

Como resultado, espera-se que as empresas enfrentem ataques "ransomware" uma vez a cada 11 segundos - um aumento de quatro vezes nos últimos cinco anos, de acordo com a CyberSecurity Ventures.A organização também calcula que o custo total do crime cibernético deverá crescer para 10 triliões de dólares (usd) até 2025.

Os líderes tecnológicos e empresariais agonizam sobre a correta abordagem estratégica da segurança de dados. A resposta reside numa reimaginação ousada da segurança cibernética e inovação tecnológica - dois dos quatro pilares da The Art of Smart para uma tomada de decisão mais inteligente.

O ataque médio pode custar às empresas 1 milhão de dólares enquanto encerram as operações durante cinco a 10 dias. Em Ransomware-as-a-service (RaaS), os cibercriminosos encontraram um modelo de operações lucrativo que reduz os conhecimentos técnicos necessários.

Qualquer pessoa na dark web pode alugar ferramentas de ransomware a gangues RaaS. Muitos até se oferecem para gerir as negociações em nome daqueles que utilizam as suas ferramentas e o resgate é dividido entre os participantes. Em vez de lançar uma vasta rede, como os atores maliciosos fizeram no passado, alguns descobriram que ir atrás de executivos de topo da empresa era uma tática de pressão mais eficiente para serem pagos.

Com a "corporatização" do cibercrime, os criminosos bem financiados encontram-se com tempo, recursos e, muitas vezes, apoio político. A "caça aos grandes jogos" está a tornar-se generalizada para estes sindicatos.Ao criar ataques altamente direcionados e sofisticados contra grandes vítimas corporativas, os perpetradores podem reclamar pagamentos nos vários milhões de dólares.

Ransomware: manutenção de dados como refém

Na sua forma mais simples, ao penetrar na segurança cibernética utilizando métodos cada vez mais sofisticados, um atacante de resgate (ransomware) infiltra-se num sistema empresarial, localiza informação sensível como os dados do utilizador e mantém-na refém, negando o acesso à empresa até que pague um resgate. Podem fazê-lo encriptando os dados ou ameaçando libertá-los publicamente.

Com um modelo RaaS, e a "corporatização" do cibercrime, a escala e o volume de ataques aumentaram - desde que os vendedores de RaaS fazem o trabalho árduo de criar e conceber tecnicamente o resgate. Esta é uma atividade de baixo esforço, de baixo risco e de rápido rendimento, com um fornecimento praticamente ilimitado de potenciais vítimas.

Durante o ano passado, os resgates alegadamente desencadearam a primeira morte relatada de um ataque cibernético quando os hackers tomaram o controlo do Hospital Universitário Duesseldorf na Alemanha.

Desde então, os cibercriminosos atingiram tudo, desde empresas a estabelecimentos de saúde, fabricantes de vacinas, escolas, e habitações públicas. Quando os serviços públicos e infraestruturas críticas estão sob ameaça, o não pagamento do resgate parece essencial.  

Por exemplo, em Maio do ano passado, o oleoduto Colonial (um oleoduto americano), viu-se vítima de um ataque RaaS e, de forma controversa, pagou o pedido de resgate de 4,4 milhões de dólares, com base no facto de ter sido "para o bem do país".

"Pagar o resgate não garante que os dados não serão divulgados, nem a recuperação sem problemas dos sistemas"

Diz Xueyin Peh, Analista Sénior de Inteligência de Ameaças Cibernéticas da Digital Shadows, uma empresa que concebe software digital de proteção de riscos.

Após um ataque de resgate, os custos de recuperação dos sistemas podem ser elevados.As empresas enfrentam perdas de receitas devido ao tempo de inatividade do sistema, a danos na reputação e à perda de clientes.

Além disso, a recuperação pode envolver custos adicionais, tais como a aquisição de novo equipamento e a contratação de peritos para ajudar a retomar as operações.

Com o Regulamento Geral de Proteção de Dados da União Europeia (RGPD), e outras políticas, as organizações vítimas devem revelar violações de dados a um organismo regulador e enfrentar a probabilidade de uma elevada penalização financeira. Peh cita o ataque Colonial: "O desencriptador fornecido pelo grupo de resgate DarkSide foi alegadamente tão lento que a empresa acabou por restaurar os backups por conta própria".

Significativamente, enquanto 96% das vítimas recuperam os seus dados após um ataque, segundo um relatório recente da Sophos, um terço dos dados nunca é recuperado.

Uma resposta imediata para uma ameaça iminente

Com cada utilização subsequente de RaaS, os atacantes tornaram-se mais sofisticados. Para a maioria das empresas, estes ataques já não são uma questão de "se" mas sim de "quando".

Os ataques de phishing e as credenciais comprometidas continuam a ser as principais "portas destrancadas" para violações de dados. A melhor defesa é evitar tornar-se a vítima - é melhor prevenir do que remediar. Isto requer criar distância entre o malware e os sistemas e dados informáticos, introduzindo camadas de segurança.

Para Andrew Rose, Diretor Residente de Segurança da Informação na Proofpoint, uma empresa americana de segurança empresarial, estas camadas críticas incluem a deteção de phishing através de filtragem de correio eletrónico, autenticação de utilizadores sem palavra-passe de vários fatores, proteção de endpoints e segmentação de redes.

"Vitalmente, as empresas precisam de backups imutáveis e offline de dados e construções de sistema para reconstruir após um ataque", diz ele.

No entanto, a maioria dos ataques cibernéticos bem sucedidos visam pessoas e não a tecnologia.

O líder de software de segurança informática Bitdefender relata que 93% dos fatores de risco humano envolvem empregados que utilizam senhas antigas para contas. "Os empregados devem ser minuciosamente treinados e conscientes da potencial ameaça", adverte Rose. A incorporação de tecnologia de autenticação sem palavra-passe num plano de defesa cibernética demonstrou reduzir tais ataques em 74%.

Existe um vasto abismo de entendimento entre os atacantes e a maioria dos defensores das organizações. Bill Santos, Presidente da Cerberus Sentinel, uma empresa de serviços de TI com sede nos EUA, diz: "Muitas organizações não têm um plano para detetar ou encerrar hackers e, com demasiada frequência, o plano começa e para com o software antivírus".

Ele sugere uma abordagem em três passos:

  • Em primeiro lugar, realizar testes regulares de penetração na sua infraestrutura virada para o exterior com uma empresa de testes forte. "Não se pretende apenas 'marcar uma caixa' com este exercício, mas sim obter uma avaliação rigorosa das suas vulnerabilidades. Aborde-as imediatamente".
  • Em segundo lugar, oferecer formação e testes contínuos aos empregados e utilizadores finais em torno de sofisticados ataques de phishing. "Uma formação mensal, seguida de testes, pode reduzir drasticamente o risco de eventos causados pelo utilizador final".
  • Finalmente, fazer regularmente um scan para potenciais resgates "adormecidos". "O software de resgate é frequentemente implantado dentro de um cliente durante meses antes de ser utilizado", diz ele, o que significa que mesmo que sejam utilizados backups para restaurar os dados nucleares de uma empresa, o vírus pode ainda estar presente.

O conselho de Santos é o de: "A menos que tenha fortes capacidades internas de cibersegurança, traga um parceiro externo que compreenda a mentalidade hacker para ajudar".

Reimaginar a cibersegurança com encriptação granular

Despesas operacionais, multas regulamentares, e pedidos de resgate não são os únicos custos com que as empresas precisam de se preocupar. Também precisam de ter em conta as fugas de dados e o roubo de IP resultantes destes ataques.

O Ponemon Institute, uma empresa de investigação com sede nos EUA, estudou três ataques recentes e em larga escala contra empresas da Fortune 100 e descobriu que o resgate era uma cortina de fumo. Larry Ponemon, fundador e presidente do Instituto, afirma: "Estes atacantes foram apoiados pelos Estados-nação".

Ao implementar métodos tradicionais de proteção de "castle-and-moat", muitas organizações jogaram a favor dos cibercriminosos. Quando os gangues podem residir em qualquer lugar, a aplicação da lei e os regulamentos locais pouco fazem para os dissuadir.

Nigel Thorpe, Director Técnico da SecureAge Technologies, um fornecedor de soluções de segurança de dados baseado em Singapura, sugere a mudança total do "jogo" através da construção de segurança nos dados. "Se todos os dados forem encriptados antes de ocorrer um ataque de resgate, é inútil para o cibercriminoso. Não podem decifrar os dados e não podem exigir um resgate por dados que já estão encriptados".

Esta estratégia requer uma revisão a longo prazo da segurança informática e só funciona se todos os dados estiverem encriptados - não só em repouso, mas também em trânsito e em utilização no local, num dispositivo remoto ou na nuvem.

Embora os governos a nível mundial tenham começado a tomar consciência, a retórica politicamente carregada serve apenas para exacerbar a situação.

Os ataques de resgate vão continuar a evoluir e a causar estragos. Para se protegerem, as empresas precisam de uma tomada de decisão rápida e decisiva. O tempo para os líderes empresariais agirem é agora - antes de serem escalfados por estes caçadores de "grandes jogos".

Contacte-nos

Paulo Lourosa
Paulo Lourosa
Managing Partner
Advisory