A atividade dos grupos de ransomware na América Latina aumentou este ano em comparação com o ano anterior, com um disparo nos ataques direcionados aos setores corporativos e governamentais. Um dos principais desafios a enfrentar no futuro próximo será o aumento das campanhas de spearphishing (direcionadas a um alvo específico). Deve-se levar em consideração o aumento dos riscos associados ao maior uso de tecnologias no período pós-pandemia, bem como a necessidade de aumentar o nível de conscientização dos colaboradores das empresas em todos os níveis.

Neste cenário, a implementação de medidas de cibersegurança varia de acordo com o tipo de organização, e de acordo com informações do ESET Security Report, existem questões em que há uma convergência para todo o setor. O roubo ou vazamento de informações nas empresas representa um dos maiores desafios, atingindo 66% das empresas, e está associado ao acesso indevido a sistemas. Ou seja, o aumento dos ataques busca explorar alguma vulnerabilidade por meio de campanhas de spearphishing ou a instalação de códigos maliciosos como ransomware ou trojans de acesso remoto.

Os cibercriminosos (grupos ou indivíduos) buscam ganhar mais dinheiro em menos tempo e oferecem seus serviços a custos muito acessíveis para todos os tipos de usuários, desde profissionais técnicos até novatos ou pessoal descontente que procura lucrar com as informações da organização em que trabalham. É por isso que eles se popularizam no mundo do crime cibernético, gerando uma oferta e demanda cada vez maiores.

Ransomware na América Latina

De acordo com o ESET Security Report, 96% das organizações apontaram sua preocupação com o ransomware como uma ameaça latente; 21% admitem ter sofrido um ataque com esse tipo de malware nos últimos dois anos. Dentre esse último grupo, 77% puderam recuperar suas informações graças às políticas de backup que possuem. Por outro lado, 4% afirmaram ter pago pelo resgate das informações. É importante mencionar que 84% das organizações que responderam aos nossos questionários se recusaram a negociar o pagamento pelo resgate de seus dados.

Os grupos de ransomware mais atuantes na América Latina

SiegedSec

Esse grupo é conhecido por seu lema de cercar a segurança da vítima, daí seu nome, em inglês siege, que pode ser traduzido para o português como cerco. Seu modus operandi é extorquir a vítima a tal ponto que só lhe resta a opção de pagar um resgate por suas informações. Na pior das hipóteses, o grupo criminoso vende os dados roubados em fóruns na Dark Web ou no Telegram.

Desde o início de suas atividades, em fevereiro de 2022, vinculado ao grupo de ransomware GhostSec, o SiegedSec mostrou que não tem preferência em seus alvos, pois conseguiu afetar setores em todo o mundo, como saúde, TI, seguros, contabilidade, direito e finanças.

Em relação a atividade do grupo na América Latina, o SiegedSec conseguiu obter documentos de intranet, bancos de dados, informações de usuários e detalhes de organizações comprometidas em vários setores na Colômbia, com órgãos governamentais e de saúde entre as mais afetadas.

Sieged
O SiegedSec se caracteriza pelo fato de que todos os seus banners para a divulgação de informações incluem um gato, como se fosse seu mascote oficial.

Nokoyawa

De origem russa e lançado em fevereiro do ano passado, é o único grupo que utiliza uma criptografia altamente sofisticada (criptografia de curva elíptica, ou ECC pela sigla em inglês), acrescentando sua própria extensão de arquivo homônima (NOKOYAWA). Esse grupo conseguiu obter uma enorme quantidade de informações de um laboratório do setor de saúde no Brasil.

Nokoyawa
Captura de tela onde você pode ver a mensagem do ransomware. Fonte: Watchguard.     

ALPHV

Também conhecido como Blackcat, esse grupo tem operado por meio do Ransomware-as-a-Service (RaaS) desde seu surgimento em novembro de 2021. Seus ataques não são realizados aleatoriamente ou por meio de campanhas de spam, mas seus alvos são determinados por parceiros, ou seja, eles reúnem seus esforços para realizar ataques em alvos já perfilados. Isso torna seu modus operandi específico para cada caso de utilização, bem como as técnicas empregadas durante seus ataques.

Em meados de 2023, o ALPHV publicou informações confidenciais sobre a exfiltração de dados de uma das maiores empresas do México por meio do canal do grupo no Telegram, e o setor público não ficou isento desse ataque.

ALPHV
Logo do grupo ALPHV (Blackcat). Fonte: Itwarelatam. 

Stormous e a alinça com o GhostSec

O Stormous surgiu em meados de 2021. O grupo, que é de origem árabe, inicialmente anunciava ataques contra os Estados Unidos por meio de seus canais do Telegram e fóruns na Dark Web. Devido ao conflito Rússia-Ucrânia, seus objetivos foram modificados e, em meados de julho deste ano, eles declararam oficialmente uma parceria com o grupo hacktivista GhostSec para atacar não apenas os Estados Unidos, mas também países latino-americanos, incluindo o governo de Cuba.

Stormus
Captura de tela da Dark Web de quando a Stormous mudou seu alvo. Fonte: Portal.cci-entel.cl.            

Vice Society

Esse foi um dos grupos mais atuantes no fim de 2022 e início de 2023. A maioria das incidências ocorreu nos setores de educação e saúde, mas também há evidências de que outro setor visado por esse grupo de ransomware é o de manufatura em países como Brasil, Argentina, Suíça e Israel. Vale a pena mencionar que eles identificaram que têm seu próprio gerador de ransomware personalizado, optando por métodos de criptografia mais fortes, o que significa que o grupo está se preparando para sua própria operação de ransomware como serviço (RaaS).

vice-society
Site oficial do Vice Society na Dark Web. Fonte: Tripwire.    

Recomendações para a proteção de ativos tecnológicos e pessoal contra ransomware

A seguir, você encontrará algumas dicas para a proteção de informações:

  • Ter uma política de backups regulares: isso permite que os dados sejam restaurados no caso de um ataque de ransomware; de acordo com o ESET Security Report na América Latina, 88% das organizações que responderam aos questionários implementaram esse tipo de ação;
  • Política de atualização e aplicação de patches em cada um dos ativos (operacionais e de rede): ao ter todos os sistemas, aplicativos e dispositivos atualizados, a brecha para que os cibercriminosos explorem vulnerabilidades de software ou protocolos obsoletos é consideravelmente reduzida. De acorco com o ESET Security Report, na América Latina, 45% das organizações relataram realizar atualizações de segurança mais de duas vezes por ano, indicando que ainda há muito o que fazer por parte das organizações;
  • Educação e conscientização: O treinamento contínuo para colaboradores de todos os níveis sobre as práticas recomendadas de segurança e as tendências de vetores de ataque na região é fundamental para evitar que cibercriminosos realizem ataques. Uma área de oportunidade para as organizações, e onde muitos ataques de ransomware são bem-sucedidos, é o fato de não contarem com um programa de treinamento e conscientização em vigor (apenas 28% das empresas que responderam aos nossos questionários do ESET Security Report disseram contar com esse tipo de programa);
  • Ter uma política sobre o princípio do menor privilégio: ao definir apenas os privilégios suficientes para que o colaborador realize suas atividades, a capacidade do ransomware de se propagar para outros sistemas ou aplicativos é limitada;
  • Segurança de rede: firewalls, segmentação de rede, juntamente com regras de acesso e uso de VPN, limitam a capacidade de propagação de qualquer malware;
  • Resposta a incidentes e plano de continuidade dos negócios: é importante saber como responder a qualquer incidente ou contingência que possa ocorrer na organização, mantendo o impacto nos negócios o mínimo possível e mantendo-os em funcionamento. 42% dos entrevistados indicaram que têm um plano de resposta a incidentes, enquanto 38% não têm um plano de continuidade dos negócios;
  • Implementar soluções de segurança avançadas: a implementação de soluções de segurança que detectam e bloqueiam comportamentos anômalos ou suspeitos, como um EDR (Endpoint Detection and Response) e soluções antimalware, podem permitir a continuidade dos negócios e proporcionam uma vantagem comercial sobre os concorrentes, ganhando a confiança dos clientes de que suas informações estão devidamente protegidas.