Por Carlos Rodrigues, vice-presidente da Varonis
Uma série de ataques cibernéticos de alto perfil tornou o ransomware um problema impossível de ignorar – na verdade, até mesmo líderes mundiais estão discutindo esses ataques em cúpulas de alto nível. Isso será suficiente para fazer os criminosos cibernéticos pensarem duas vezes?
Os ataques cibernéticos – que envolvem criminosos criptografando redes e exigindo pagamentos que podem chegar a milhões de dólares em troca da chave de decodificação – tem sido um problema há anos, mas estão se tornando cada vez mais perturbadores e prejudiciais para as vítimas, enquanto os criminosos cibernéticos ganham cada vez mais dinheiro. Alguns anos atrás, os resgates eram centenas de dólares, agora os extorsionários cibernéticos estão exigindo milhões ou até dezenas de milhões de dólares em resgates.
E os grupos de ransomware são capazes de continuar exigindo enormes somas de bitcoin e outras criptomoedas porque, por uma razão ou outra, as vítimas estão pagando os resgates. É um modelo de negócio eficaz porque, do ponto de vista do criminoso, funciona porque as pessoas estão pagando. Depois, há mais ataques como resultado, pois é bem-sucedido.
Um intruso dentro de uma rede corporativa pode passar meses roubando informações confidenciais e depois lutar para encontrar uma maneira de ganhar dinheiro com isso. Ou eles poderm usar esse tempo e esforço para se movimentar em uma rede que lança as bases para um ataque de ransomware – e sair com milhões de dólares. As operações de ransomware mais bem organizadas até escolherão as organizações que veem como potencialmente as mais lucrativas ou mais propensas a pagar um resgate e concentrar seus esforços nelas, a fim de maximizar os lucros.
É por causa dessa situação que os hackers estão mirando em organizações que operam infraestrutura essencial, fábricas e outros serviços críticos que dependem do tempo de atividade para permanecer funcionando.
Facilidade de ataque
Apesar dos repetidos avisos, as organizações podem desconhecer completamente que essas vulnerabilidades existem ou podem não ter os procedimentos em vigor para aplicar os patches de segurança relevantes para fechar vulnerabilidades em RDPs e VPNs.
E a pandemia de Covid-19 agravou o problema, pois as organizações têm muito mais funcionários trabalhando remotamente do que antes, dificultando o gerenciamento de atualizações de segurança ou o monitoramento de comportamentos potencialmente incomuns.
Ataques de ransomware já são prejudiciais e disruptivos o suficiente, mas muitas das gangues de criminosos cibernéticos adicionaram outra corda ao seu arco – dupla de extorsão. Não apenas criptografam dados e exigem um resgate em troca de uma chave de decodificação, como o acesso que obtiveram à rede significa que eles são capazes de roubar informações confidenciais. Eles não estão procurando vendê-lo para empresas ou governos rivais; simplesmente ameaçam publicá-lo se a vítima não pagar.
Pagamentos difíceis de rastrear
Quando as organizações pagam o resgate, ele é pago em criptomoeda – e há um argumento de que ajudou criminosos cibernéticos a ganhar dinheiro facilmente com ransomware.
Para os criminosos, tirar o dinheiro é a principal coisa e, usando criptomoedas como o bitcoin, eles são capazes de fazê-lo de uma maneira difícil de rastrear – e, crucialmente, evita qualquer coisa como uma conta bancária comum que possa ser usada para identificá-los.
Hora da mudança
Quando os ataques de ransomware são tão bem-sucedidos financeiramente, eles continuarão acontecendo – especialmente se os criminosos cibernéticos estiverem operando a partir de países onde seus governos fecham os olhos para suas atividades.
No entanto, no futuro imediato, o ransomware permanecerá eficaz enquanto as organizações forem vulneráveis a serem hackeadas por criminosos cibernéticos, como demonstrado pela forma como os ataques continuaram a causar interrupções em todo o mundo.
Mas é possível criar resiliência a ataques cibernéticos – incluindo ransomware – e tornar muito mais difícil para os criminosos cibernéticos comprometerem a rede em primeiro lugar.
O tipo de coisa que é útil: ter visibilidade em sua rede para poder ver se a atividade precursora está ocorrendo, entender onde estão seus ativos e rede e ter isso devidamente mapeado e compreendido. Esses bons processos padrão se defenderão contra ransomware.