Com a chegada do final do ano, começa o momento de fazer balanços para entender a atividade de certos cibercriminosos no campo da cibersegurança. E, nesse contexto, é inevitável analisar o comportamento de uma das ameaças cibernéticas de maior impacto: o ransomware.

Como detalharemos a seguir, 2024 foi um ano recorde para o ransomware: desde seu alcance até os lucros obtidos pelos atacantes com seus golpes. Para entender como essa ameaça desempenhou um papel crucial na cibersegurança de empresas e organizações, vamos destacar os ataques mais paradigmáticos do ano e o impacto que tiveram na América Latina.

Leia mais: Ransomware: o que é e como funciona

O que aconteceu com o ransomware em 2024?

Não há dúvida de que o ransomware continua sendo uma das maiores ameaças para a cibersegurança em nível global. Um relatório da Rapid 7 afirma que foram registrados mais de 2.500 ataques de ransomware apenas na primeira metade de 2024, o que equivale a quase 15 ataques reivindicados publicamente por dia.

Nesse contexto, um estudo publicado pela Statista, com base na opinião de líderes de cibersegurança de todo o mundo, revela que quase 60% das organizações globalmente foram vítimas de um ataque de ransomware apenas entre janeiro e fevereiro de 2024.

E, de acordo com o ESET Security Report deste ano, na América Latina, 14% das organizações afirmaram estar dispostas a pagar um resgate. O que é ainda mais preocupante é que a perda de dados aumentou de forma significativa: de 17,2% registrado em 2023, passou para 30,2% em 2024. Em consonância com isso, o Relatório Global da Veeam revela que 27% das organizações que pagaram o resgate não conseguiram recuperar seus dados, mesmo após efetuar o pagamento.

Se isso não fosse suficiente, 2024 se configura para estabelecer um recorde em relação à quantia paga por ataques de ransomware. Segundo a Chainalysis, os resgates pagos até julho estavam próximos de um total de 460 milhões de dólares, enquanto, em 2024, foi registrada a maior quantia paga por uma vítima até o momento por um resgate de ransomware: 75 milhões de dólares.

O que caracterizou o ransomware em 2024?

É curioso notar que, apesar do desmantelamento de grupos dominantes como o LockBit, o ransomware continuou a se reinventar nas mãos de grupos menores e mais ágeis. Uma das principais características desses novos cibercriminosos é a operação por meio de múltiplos grupos de ransomware, o que resultou na chamada "democratização do ransomware", permitindo que ameaças cibernéticas se espalhassem de maneira mais ampla e descentralizada.

Também é importante destacar que os grupos de ransomware continuam explorando novas técnicas e táticas. Um exemplo disso é a incorporação de ferramentas desenvolvidas para neutralizar tecnologias de segurança, como os EDR. Os pesquisadores da ESET descobriram um novo kit de ferramentas usado pelo ransomware Embargo, composto por um loader e um killer de EDR, denominados MDeployer e MS4Killer, respectivamente, pela ESET.

Além disso, o ransomware, assim como outras ameaças cibernéticas, se tornou muito mais sofisticado com a implementação de ferramentas baseadas em Inteligência Artificial. O resultado? Ataques mais personalizados, tornando a prevenção e a resposta muito mais difíceis.

Quais foram os ataques de ransomware mais destacados globalmente?

Ao redor do mundo, ocorreram ataques que marcaram o impacto e a prevalência do ransomware em 2024. Como mencionado anteriormente, um exemplo significativo foi o pagamento de 75 milhões de dólares feito pelo grupo Dark Angel em julho, vindo de uma empresa da Fortune 50. Esse pagamento se tornou o maior resgate de ransomware da história até o momento.

Mas não foi o único: outro exemplo paradigmático de 2024 foi o ciberataque ocorrido em fevereiro, que expôs as informações médicas de mais de um terço dos cidadãos americanos. Isso foi confirmado pelo CEO da empresa em uma audiência diante do comitê de energia e comércio do Congresso dos Estados Unidos. O ataque à Changue HealthCare foi atribuído à Optum, um aliado ou subsidiário do grupo de ransomware BlackCat, que havia sido desmantelado pelo FBI em dezembro de 2023, e custou à empresa cerca de 872 milhões de dólares.

Infelizmente, o setor de saúde foi um dos mais impactados neste ano. Um exemplo disso foi o ataque de ransomware à Ascension, que forçou a empresa de atendimento médico nos Estados Unidos a desviar ambulâncias, fechar farmácias e desligar sistemas críticos de TI. O impacto financeiro para a Ascension foi devastador: as perdas econômicas decorrentes do ciberataque em maio superaram 1 bilhão de dólares.

Na mesma linha, destaca-se o ataque de ransomware que vitimou a MediSecure na Austrália, resultando em um dos maiores vazamentos de dados pessoais da história do país. Especificamente, foram 6,5 terabytes de informações, incluindo os históricos de saúde de quase 13 milhões de australianos.

Qual é a situação do ransomware na América Latina?

Focando especificamente na América Latina, alguns grupos se destacaram pela sua constante atividade. Entre eles, vale ressaltar o LockBit 3.0, Vice Society, ALPHV (BlackCat) e Medusa.

No entanto, um protagonista decisivo sem dúvidas foi o RansomHub, um grupo que oferece ransomware como serviço e que, desde seu surgimento no início do ano, afetou mais de 200 organizações. Por seu serviço, o RansomHub cobra 10% dos pagamentos obtidos por seus afiliados em cada ataque, sendo suas principais vítimas instituições e empresas de alto perfil com grande capacidade de pagamento.

Outro grupo muito ativo na América Latina foi o LockBit 3.0, que entre suas vítimas destaca a rede mexicana de lojas Coppel. O ataque afetou 1.800 lojas em todo o país, que tiveram sua operação drasticamente comprometida por um período de três meses. Durante esse tempo de inatividade (com o fechamento das lojas online e a impossibilidade de processar transações nas lojas físicas), a empresa sofreu uma perda aproximada de 15 milhões de dólares em receitas.

Para confirmar como os grupos de ransomware continuam evoluindo, recentemente a equipe de pesquisa da ESET América Latina elaborou um relatório destacando dois grupos de ransomware emergentes na América Latina: RansomHub, Qiulong e Cactus.

Como se proteger contra o ransomware?

Para se proteger contra o ransomware, é necessário adotar uma abordagem transversal que abranja de forma integral todos os aspectos de uma organização. Para isso, o ideal é:

  • Implementar a autenticação em dois fatores: Essa medida fortalece a segurança e reduz consideravelmente o risco de acessos não autorizados, caso as senhas sejam comprometidas.
  • Realizar backups periódicos: Manter cópias de segurança atualizadas e armazenadas em locais seguros é fundamental para minimizar o impacto do ransomware e facilitar a recuperação de dados em caso de ataque.
  • Manter-se atualizado sobre as últimas ameaças e tendências de segurança: Estar informado sobre as ameaças emergentes e as tendências de segurança cibernética é crucial para antecipar possíveis vulnerabilidades e adotar medidas preventivas.
  • Capacitar o pessoal em boas práticas de segurança: Treinar os funcionários em boas práticas de segurança cibernética é essencial para prevenir riscos e minimizar a probabilidade de cair em ataques de engenharia social ou erros humanos.