Ameaças de ransomware continuam evoluindo. Empresas globais são o principal alvo de ataques.
O que você vai ler hoje:
- Ataques de ransomware ao setor de saúde aumentaram significativamente no final de 2020
- APT27, vinculada à China, é acusada como responsável por ataque à cadeia de suprimentos de gigantes do videogame
- Gangues de ransomware direcionam ataques a gestores e executivos, a fim de acelerar o pagamento por resgate
- Edifícios de empresas globais podem ser o principal alvo de ciberataques em 2021
Ataques de ransomware ao setor de saúde aumentaram significativamente no final de 2020
No auge do isolamento social no ano passado, vários grupos criminosos de hackers se comprometeram a deixar hospitais, asilos e outras entidades de saúde em paz até que a pandemia do COVID-19 passasse.
Porém, um relatório recente da Checkpoint Security observa que os ataques de ransomware contra organizações de saúde aumentaram cerca de 45% desde o início de novembro de 2020, seguindo um aumento alarmante de 71% em outubro. Mais do que isso, o relatório declara que as entidades de saúde foram, na verdade, o alvo número um dos ataques de ransomware nesse período.
A empresa relata que, em média, essas organizações enfrentaram cerca de 440 ataques por semana em outubro. Em novembro, esse número subiu para 626 – quase 90 ataques por dia.
Isso porque a combinação de contas bancárias abundantes com a preponderância de informações extremamente confidenciais é uma isca poderosa para agentes mal-intencionados.
E tem sido especialmente lucrativo para uma das equipes de hackers mais prolíficas, atualmente: os criminosos por trás do ransomware Ryuk.
O grupo apareceu pela primeira vez em 2018 e tem sido, de longe, a operação de ransomware mais bem-sucedida desde então. As táticas de negociação agressivas da gangue, e os ataques altamente direcionados, geraram cerca de US$ 150 milhões em pagamentos de resgate por parte de suas vítimas. A média dos pagamentos de resgate de Ryuk é estimada em algo em torno de US$ 110.000.
A Checkpoint estima que Ryuk é atualmente responsável por cerca de 75% de todos os ataques ao setor de saúde.
Leia também:
- Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros
- Ataque SolarWinds: o que é e por que foi tão difícil de detectar?
APT27, vinculada à China, é acusada como responsável por ataque à cadeia de suprimentos de gigantes do videogame
Uma série recente de ataques de ransomware direcionados a grandes empresas do setor de jogos eletrônicos foi associada ao notório grupo de ameaças APT27, vinculado à China, o que sugere que a ameaça persistente avançada (APT) está trocando suas táticas centralizadas de espionagem para adotar o ransomware como arma principal, afirma um novo relatório.
Os pesquisadores notaram os “fortes vínculos” com o APT27 quando foram trazidos como parte da resposta a incidentes de atividade de ransomware. No entanto, os detalhes a respeito desses incidentes (incluindo nomes de empresas específicas e o cronograma de ataques) são escassos.
O que se sabe é que o vetor de infecção inicial foi um provedor de serviços terceirizado, que já havia sido infectado por outro provedor de serviços terceirizado, disseram os pesquisadores.
Após uma investigação mais aprofundada sobre o incidente, eles descobriram amostras de malware vinculadas a uma campanha do início de 2020, chamada DRBControl, que tinha ligações com a APT27 e à gangue de especialistas em cadeia de suprimentos Winnti.
Os pesquisadores também descobriram que o DRBControl foi então carregado na memória dos dispositivos, por meio de um executável do Google Updater, que era vulnerável ao side-loading de DLL (side-loading é o processo caracterizado pela utilização de uma DLL maliciosa para falsificar uma legítima e, em seguida, pela utilização de executáveis legítimos do Windows para rodar o código malicioso).
Ambas as amostras usaram o Google Updater assinado pela DRBControl e ambas as DLLs foram rotuladas como goopdate.dll, disseram os pesquisadores.
Além do arsenal de ferramentas correspondentes às operações anteriores do APT27, os pesquisadores notaram semelhanças de código com as campanhas anteriores do APT27; além disso, os domínios usados nesta operação são combinações de outras operações vinculadas ao APT27 anteriormente.
[sc name=”newsletter_hardnews”]
Gangues de ransomware direcionam ataques a gestores e executivos, a fim de acelerar o pagamento por resgate
Uma nova tendência está surgindo entre grupos de ransomware: priorizar o roubo de dados de altos executivos e gerentes a fim de obter informações “interessantes” que podem, mais tarde, ser usadas para pressionar e extorquir os altos escalões de uma empresa, a fim de acelerar grandes pagamentos de resgate.
A estratégia é um passo a mais no desenvolvimento das gangues de ransomware, que vêm se tornando mais complexas e agressivas com o tempo.
Nos últimos dois anos, as gangues evoluíram de ataques aleatórios a usuários para perseguir grandes corporações em ataques bem direcionados.
Esses grupos violam redes corporativas, roubam arquivos confidenciais, criptografam arquivos e deixam notas de resgate nos computadores destruídos. Em outros casos, algumas gangues de ransomware ameaçaram as empresas de publicar de seus dados, incorrendo em uma violação que poderia acarretar multa das autoridades, bem como danos à reputação.
No entanto, as gangues de ransomware nem sempre conseguem obter dados proprietários ou informações confidenciais em todas as invasões que realizam. Isso reduz sua capacidade de negociar e pressionar as vítimas.
É por isso que, em invasões recentes, um grupo – que costuma usar a variedade de ransomware Clop -, tem procurado especificamente por informações de gerentes e executivos, examinando arquivos e e-mails e extraindo os dados que eles acham que podem ser úteis para ameaçar, constranger ou pressionar a administração de uma empresa a pagar mais rapidamente o resgate.
De todo modo, pagando ou não, o prejuízo à organização é ainda maior.
[sc name=”emfoco_tendencias_2021″]
Edifícios de empresas globais podem ser o principal alvo de ciberataques em 2021
Os riscos de segurança cibernética continuam sendo uma ameaça persistente para empresas globais – e as perspectivas para 2021 não vão melhorar.
Esse é o resultado de uma nova pesquisa, onde quase um quarto (23%) dos entrevistados revelou que suas empresas sofreram sete ou mais ataques em suas redes ou sistemas ao longo de 2020.
Além disso, a maioria dos entrevistados (83%) disse que as chances de um ataque cibernético ter sucesso nos próximos 12 meses são de “um pouco” a “muito” provável.
A pesquisa Trend Micro, que foi realizada em conjunto com o Ponemon Institute, apóia o Índice de Risco Cibernético, uma ferramenta de medição que visa avaliar a capacidade ou prontidão de uma empresa para responder a vários tipos de ataques cibernéticos. Os resultados da última pesquisa são baseados em respostas fornecidas por quase 2.800 gerentes e profissionais de TI dos EUA, Europa e Ásia-Pacífico.
Mas se por um lado a vulnerabilidade de grandes corporações pode não ser novidade, por outro, o grande alerta feito pelas novas análises é que edifícios automatizados são particularmente vulneráveis, especialmente por conta do avanço de dispositivos IoT.
Outro relatório identificou vulnerabilidades em softwares amplamente usados, encontrados em milhões de dispositivos IoT, chama a atenção para o fato de que essas falhas podem ser exploradas por hackers que buscam invadir e causar danos às redes comerciais e domésticas.
Os alertas ressoam com as previsões de tendências em cibersegurança para 2021, que devem explorar ainda mais soluções como redes 5G e dispositivos interconectados. Nunca é cedo demais para começar a se proteger, pelo contrário: a cada minuto, o risco é cada vez maior.
