Não há dúvida de que o ransomware foi o assunto de 2021 e se tornou a ameaça digital mais preocupante do mundo, tanto para as empresas de todos os setores quanto para os órgãos públicos. O lucro desses grupos criminosos só aumenta, assim como os valores exigidos para o resgate das informações roubadas, o que demonstra como essas ações criminosas continuam sendo um negócio lucrativo para os cibercriminosos.
De acordo com dados revelados pela Financial Crimes Enforcement Network (FinCEN) do Departamento do Tesouro dos Estados Unidos, entre janeiro e junho deste ano, a média mensal de transações em Bitcoin que supostamente está relacionada com o ransomware chegou a US$ 66,4 milhões. Somente no ataque a Kaseya, os operadores por trás do ransomware REvil exigiram um pagamento de US$ 70 milhões pela ferramenta de decriptação para que as vítimas pudessem recuperar seus arquivos sequestrados.
O número de ataques de incidentes provocados por ransomware quase dobrou em 2021. Em novembro, havia mais de 2.300 organizações vítimas registradas cujos nomes foram publicados em sites da Dark Web controlados por cibercriminosos, enquanto em 2020 foram registradas quase 1.300 organizações vítimas, segundo o portal DarkTracer.
Alguns dos grupos por trás desses códigos maliciosos concentram o maior número de vítimas e são geralmente os que contam com melhor reputação, o que lhes permite exigir altas somas de dinheiro que vemos nas notícias que circulam em todo o mundo. Entretanto, a realidade também indica que existem muitos outros grupos de ransomware que operam sob o modelo de ransomware-as a-service (RaaS), que são menos ativos e menos conhecidos, mas também compõem o cenário do ransomware na atualidade. Considerando a heterogeneidade desses grupos em termos de número de vítimas, número de afiliados, reputação, etc., de acordo com informações do portal Coveware para o 3º trimestre de 2021, o valor médio pago pelas vítimas de um ataque de ransomware é de US$ 139.739.
Veja mais:
Ataques de ransomware que ganharam grande repercussão em 2021
Em 2020, os ataques de ransomware direcionados cresceram exponencialmente, assim como o número de grupos de ransomware ativos, os valores solicitados para o resgate das informações e os lucros obtidos por esses grupos criminosos com os pagamentos solicitados. Mas em 2021, além dessa curva ascendente no número de grupos, pedidos de resgate e lucros, houve ataques de alto nível a algumas infraestruturas críticas que também ganharam enorme repercussão.
Veja mais: Grupos de ransomware atacam estações de tratamento de água
Estamos falando, por exemplo, do ataque à Colonial Pipeline, a maior empresa de oleodutos dos Estados Unidos, que sofreu um ataque provocado pelo ransomware DarkSide em maio deste ano. O incidente causou o corte do abastecimento de combustível em grande parte dos Estados Unidos.
Outro incidente que ficará para a história foi o ataque à Kaseya. O grupo REvil explorou uma vulnerabilidade zero-day no software de gerenciamento da TI Kaseya VSA (comumente usado por provedores de serviços gerenciados) e através de um ataque à cadeia de suprimentos usando um instalador de uma atualização automática do software, comprometendo mais de 1500 empresas em vários países. Em seguida, eles exigiram uma soma de US$ 70 milhões em troca de uma ferramente de descriptografia para todas as vítimas.
Além desses casos, houve vários ataques de ransomware em 2021 que tiveram um grande impacto em termos de vítimas e consequências. Por exemplo, o ataque provocado pelo ransomware REvil ao frigorífico JBS, o ataque do ransomware Conti ao sistema de saúde da Irlanda, ou os ataques à seguradora americana CNA e à seguradora francesa AXA pelos ransomwares Phoenix e Avaddon respectivamente. No caso da AXA, a empresa casualmente vendia seguros contra ataques de ransomware e uma semana antes do incidente havia parado de oferecer esse tipo de serviço.
Aumento do número de vítimas de ransomware em 2021 em relação a 2020
De acordo com informações publicadas pelo portal DarkTracer, uma empresa que realiza o monitoramento da atividade de grupos de ransomware na rede Dark, de 1 de janeiro de 2019 a 9 de novembro de 2021 um total de 53 grupos de rasnsomware comprometeram a 3.767 organizações.
Para entender melhor esses números, entre 2019 e 2020 um total de 22 grupos de ransomware afetaram a 1.315 organizações. Se deixarmos de lado o aumento cumulativo do número de grupos e olharmos apenas para o número de vítimas, isso significa que apenas em 2021 foram registradas mais de 2.452 organizações afetadas em ataques de ransomware - um número significativamente maior que os 1.315 que foram registrados nos dois anos anteriores e que mostra claramente o crescimento no número de vítimas.
O cenário do ransomware é muito dinâmico e muitos grupos saem do mercado e depois reaparecem com um novo nome, mudanças no código e uma nova rede de afiliados. Quando essa mudança ocorre, esses grupos geralmente derrubam os sites que utilizam na Dark Web para publicar as informações roubadas e os nomes de suas vítimas. Em setembro deste ano observamos que o número de sites ativos pertencentes a grupos de ransomware tinha aumentado para mais de 40, dando-nos uma ideia de quantos grupos de ransomware ativos em 2021.
Vetores de ataque mais usados por grupos de ransomware
Além de alguns ataques em particular, como o ataque à Kaseya usando uma vulnerabilidade zero-day no software Kaseya VSA que demonstra a evolução do ransomware em termos de capacidade desses grupos, em geral os vetores mais utilizados para obter acesso inicial permanecem os mesmos do ano passado, ou seja, ataques de phishing, exploração de vulnerabilidades ou ataques ao protocolo de desktop remoto (RDP).
No caso da exploração de vulnerabilidades, em setembro um grupo de pesquisadores publicou uma lista compilando 42 vulnerabilidades exploradas por diferentes grupos de ransomware para obter acesso inicial a sistemas. A lista inclui 17 tecnologias diferentes, que são detalhadas neste post.
So, we are up to 42 vulnerabilities across 17 technologies (with 1 pending) that ransomware groups exploit for initial access. This is why preaching “just patch” isn’t good enough. I don’t know what the answer is, but what we’re doing clearly isn’t working. https://t.co/oYBRUwTWf3
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) September 17, 2021
Além disso, neste artigo você encontrará mais informações sobre as vulnerabilidades comumente exploradas nos ataques de ransomware de acordo com a indústria de segurança.
Além da exploração de vulnerabilidades, os ataques de phishing continuam sendo um recurso utilizado por criminosos, bem como os ataques de desktop remoto (RDP). Enquanto em 2020 os ataques de força bruta ao RDP cresceram 768% entre o primeiro e o último trimestre de 2020, em 2021 o cenário permaneceu o mesmo. Na América Latina, por exemplo, as detecções de ataques de força bruta a clientes RDP cresceram em 32%.
Quais foram os grupos de ransomware mais ativos em 2021?
No início deste ano, destacamos os grupos mais ativas em 2020 e descobrimos que Ruyk, Maze, Doppelpaymer, Netwalker, Conti e REvil, nessa ordem, eram os mais ativos. Em 2021 alguns nomes se repetem, pois embora grupos como Maze e Netwalker tenham deixado de funcionar, assim como outros que também tiveram atividade significativa em 2021, como o Avaddon, em novembro o Conti registrou um total de 599 vítimas e se tornou o grupo mais ativo em 2021, faltando quase um mês para o fim do ano.
As outras famílias mais ativas em 2021 foram Lockbit 2.0, Pysa e REvil. Todos esses grupos não só fizeram muitas vítimas em todo o mundo, mas também na América Latina.
Ransomware REvil (Sodinokibi)
No caso do REVil, também conhecido como Sodinokibi, embora tenha encerrado suas atividades recentemente, essa família, que estava ativa desde 2019, foi responsável pelo ataque à Kaseya, mas também por outros ataques muito importantes. Por exemplo, o incidente que atingiu ao frigorífico JBS, que decidiu pagar aos atacantes U$11 milhões. Outro incidente provocado pelo REvil que teve bastante repercussão foi o ataque à Quanta Computer, um fornecedor da Apple, bem como o ataque à Sol Oriens, uma empresa contratada para trabalhar com a Administração Nacional de Segurança Nuclear dos EUA (NNSA), bem como outras agências federais.
Diversos setores foram afetados pelo REvil, como o manufatureiro (19%), os serviços jurídicos (15,5%) e a indústria de serviços (11,9%). Na América Latina, as vítimas do REvil estão no Brasil, Argentina, Colômbia e México.
Entre os principais vetores de acesso inicial utilizados por essa família incluem e-mails de phishing, serviços RDP expostos à internet, exploits kits e exploração de vulnerabilidades.
Ransomware Conti
Esta família de ransomware foi detectada pela primeira vez em 2019, sendo uma das mais ativas em 2021. Em novembro, o número de vítimas desde seu início mostrou que foi o grupo que mais afetou organizações com um total de 599.
LockBit and Pysa ransomware gangs surpassed 300, ranking second and third side by side.
3,767 victim organizations and 53 darkweb ransomware gangs. (2019.01.01 ~ 2021.11.09) pic.twitter.com/DhLQq2nH5h
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) November 10, 2021
Entre os maiores ataques de 2021 podemos destacar o impacto ao sistema de saúde da Irlanda que interrompeu o funcionamento de seus sistemas. Vale mencionar que 16 outras instituições de saúde nos Estados Unidos também foram atacadas. Entretanto, se analisarmos as indústrias que mais sofreram com esses tipos de ataques, a indústria de manufatura aparece como a principal, seguida pela indústria alimentícia e em terceiro lugar setores como finanças, serviços de TI e construção.
Os principais vetores de acesso inicial utilizados por essa família incluem e-mails de phishing, serviços de RDP expostos à internet e exploração de vulnerabilidades. No caso de e-mails de phishing, foi observado o uso de anexos maliciosos usados para baixar malware como o TrickBot, Bazar backdoor, ou aplicativos legítimos usados maliciosamente (como o Cobalt Strike) para realizar movimentos laterais sobre a rede da vítima e depois baixar o ransomware.
Entre os países latino-americanos que foram vítimas desse malware estão: Brasil, Argentina, Colômbia, Nicarágua e República Dominicana.
Veja mais: Ransomware Conti: principais características e como funcionam seus afiliados
Ransomware Lockbit 2.0
A primeira variante desta família foi detectada entre setembro de 2019 e janeiro de 2020 sob o nome Lockbit e, desde junho de 2021, mudou para Lockbit 2.0. De acordo com o site dos criminosos, essa nova versão inclui uma função de roubo de informações conhecida como “StealBit”, que permite o download automático e rápido de todos os arquivos do sistema da vítima. O grupo também afirma ter o software de criptografia mais rápido (373MB/s) em comparação com o utilizado por outros grupos de ransomware.
Em novembro de 2021, um total de 348 organizações haviam sido afetadas. Um dos ataques mais conhecido foi o que atingiu a Accenture, no qual os criminosos solicitaram um resgate de U$50 milhões.
Em termos de distribuição, essa família utiliza e-mails de phishing, serviços de RDP expostos à internet e exploração de vulnerabilidades em software, tais como soluções VPN.
Entre os países latino-americanos mais afetados pelo Lockbit 2.0 estão: Brasil, México, Peru, Venezuela, Panamá.
Ransomware Pysa
Esta família surgiu no fim de 2019, mas ganhou notoriedade no fim de 2020 com ataques a instituições educacionais, orgãos governamentais, instituições de saúde, entre outras. Em novembro de 2021, o número de organizações que foram vítimas era de 307 desde seu início.
Os métodos de distribuição mais comuns usados pelo Pysa são os e-mails de spearphishing e os ataques ao Remote Desktop Service (RDP).
Entre os países latino-americanos mais afetados pelo Pysa estão: Brasil, Argentina, Colômbia y México.
Ransomware Avaddon
Embora o Avaddon tenha aparecido pela primeira vez no fim de 2019, foi somente na primeira metade de 2021 que se tornou muito ativo globalmente, especialmente na América Latina, fazendo vítimas no Brasil, Chile, Colômbia, Costa Rica, México e Peru. Entretanto, deixou de funcionar em junho de 2021 e divulgou suas chaves de decriptografia para que as vítimas pudessem recuperar seus arquivos.
Segundo o Centre for Cyber Security da Austrália, país onde o Avaddon foi muito ativo e afetou várias organizações públicas e privadas, o resgate médio exigido pelos atacantes foi de aproximadamente US$ 40 mil.
Quanto aos mecanismos de distribuição mais utilizados, os mais comuns no caso do Avaddon foram os e-mails de phishing com anexos maliciosos, como arquivos ZIP ou JPG, e também houve casos que utilizaram outros malwares que baixavam o Avaddon em uma etapa posterior. Como os outros grupos mencionados acima, também utilizou a exploração da vulnerabilidade e os serviços de RDP como um vetor de acesso.
O que esperar do cenário do ransomware em 2022
Em países como os Estados Unidos (um dos mais afetados por ataques de ransomware), após o ataque à Colonial Pipeline, o governo começou a tomar medidas para combater a ameaça. Como resultado dessas ações, mais de 30 países concordaram recentemente em trabalhar juntos para combater o ransomware, o que envolve o compartilhamento de informações entre as agências de aplicação da lei e os centros de resposta a incidentes de segurança e emergência (CERTs) em cada país, bem como trabalhar para melhorar os mecanismos de resposta a esse tipo de ameaça e promover as melhores práticas contra o ransomware.
Embora tenhamos visto notícias de prisões de membros afiliados de alguns desses grupos como parte de operações internacionais, bem como programas que oferecem recompensas significativas em troca de informações sobre os cibercriminosos por trás desses grupos, os dados de 2021 mostram um crescimento em todos os números, de modo que a tendência provavelmente permanecerá semelhante em 2022.
Diante desse contexto, um dos principais desejos das organizações para o próximo ano deve ser evitar entrar na lista de um desses grupos criminosos. Para isso, as organizações precisarão garantir as devidas diligências e trabalhar para mitigar os riscos, e também se preparar para o caso de um ataque de ransomware.