Houve uma época em que a linha divisória entre o cibercrime e as atividades de ameaça alinhadas a Estados era relativamente fácil de identificar. Os cibercriminosos eram motivados exclusivamente pelo lucro. Por outro lado, seus equivalentes nos governos realizavam principalmente campanhas de ciberespionagem, além de ocasionais ataques destrutivos, para avançar os objetivos geopolíticos de seus empregadores. No entanto, nos últimos meses, essa linha começou a se desfazer, incluindo no que diz respeito ao ransomware, uma tendência também destacada no mais recente Relatório de Ameaças da ESET.

Isso pode ter implicações significativas para líderes de TI e segurança digital - não apenas aumentando o risco de ataques, mas também alterando a forma como se calcula e se implementa estratégias para mitigar esse risco.

Fronteiras nebulosas no ciberespaço

Pode-se argumentar que ataques de ransomware realizados por cibercriminosos patrocinados por Estados não são exatamente uma novidade. Em 2017, acredita-se que operativos ligados à Coreia do Norte tenham lançado o WannaCry (também conhecido como WannaCryptor), o primeiro ransomworm global. Ele só foi interrompido depois que um pesquisador de segurança descobriu e ativou um "kill switch" oculto no código malicioso. No mesmo ano, cibercriminosos patrocinados por Estados lançaram a campanha NotPetya contra alvos na Ucrânia. No entanto, nesse caso, tratava-se de um malware destrutivo disfarçado de ransomware para despistar os pesquisadores.

Em 2022, a ESET observou o grupo russo Sandworm utilizando ransomware de forma semelhante: como um data wiper para apagar dados.

A linha entre operações patrocinadas por Estados-nação e crimes motivados financeiramente tem ficado cada vez mais turva desde então. Como já destacamos anteriormente, muitos vendedores na dark web comercializam exploits e malwares para agentes estatais, enquanto alguns governos contratam cibercriminosos freelancers para auxiliá-los em operações específicas.

O que está acontecendo atualmente?

Essas tendências parecem estar se acelerando. Recentemente, a ESET e outras organizações observaram vários motivos aparentes por trás dessas atividades:

Ransomware para encher os cofres estatais

Cibercriminosos governamentais estão usando ransomware deliberadamente como uma ferramenta de geração de receita para o Estado. Isso é mais evidente na Coreia do Norte, onde grupos de ameaças também atacam empresas de criptomoedas e bancos em mega-roubos sofisticados. Estima-se que eles tenham lucrado cerca de US$ 3 bilhões em atividades ilícitas entre 2017 e 2023.

Em maio de 2024, a Microsoft observou o grupo Moonstone Sleet, alinhado a Pyongyang, implantando um ransomware personalizado chamado "FakePenny" nas redes de várias organizações aeroespaciais e de defesa, após roubar informações sensíveis. "Esse comportamento sugere que o grupo tinha objetivos tanto de coleta de inteligência quanto de monetização de seu acesso", afirmou a Microsoft.

O grupo norte-coreano Andariel também é suspeito de fornecer acesso inicial e/ou serviços de afiliados ao grupo de ransomware conhecido como Play. Isso porque o ransomware Play foi detectado em uma rede previamente comprometida pelo Andariel.

Ganhar dinheiro por fora

Outro motivo para o envolvimento de Estados em ataques de ransomware é permitir que cibercriminosos governamentais ganhem dinheiro extra em trabalhos paralelos. Um exemplo disso é o grupo iraniano Pioneer Kitten (também conhecido como Fox Kitten, UNC757 e Parisite), que foi observado pelo FBI "colaborando diretamente com afiliados de ransomware para viabilizar operações de criptografia em troca de uma porcentagem dos pagamentos de resgate".

O grupo trabalhou de perto com NoEscape, Ransomhouse e ALPHV (também conhecido como BlackCat) – não apenas fornecendo acesso inicial, mas também ajudando a bloquear redes de vítimas e colaborando em estratégias para extorquir as vítimas.

Confundindo os pesquisadores

Grupos APT ligados a Estados também estão usando ransomware para ocultar as verdadeiras intenções de seus ataques. Acredita-se que o grupo ChamelGang (também conhecido como CamoFei), alinhado à China, tenha adotado essa tática em diversas campanhas direcionadas a organizações de infraestrutura crítica no Leste Asiático, Índia, além dos EUA, Rússia, Taiwan e Japão.

O uso do ransomware CatB dessa maneira não apenas mascara operações de ciberespionagem, mas também permite que os agentes destruam evidências do roubo de dados.

A atribuição importa?

É fácil entender por que grupos patrocinados por governos estão usando ransomware. No mínimo, isso lhes fornece uma cobertura útil de negação plausível, o que pode confundir pesquisadores. E, em muitos casos, essa abordagem também aumenta as receitas do Estado e serve para motivar cibercriminosos empregados pelo governo, que muitas vezes não passam de servidores públicos mal remunerados.

A grande questão é: realmente importa quem está realizando o ataque? Afinal, a Microsoft já descobriu evidências de que órgãos governamentais terceirizam amplamente suas operações – embora, no caso do Storm-2049 (UAC-0184 e Aqua Blizzard), nenhum ransomware tenha sido envolvido.

Existem duas perspectivas principais sobre o assunto. De um lado, as melhores práticas de segurança continuam sendo válidas – e eficazes para construir resiliência e acelerar a resposta a incidentes, independentemente de quem está atacando. Na verdade, se grupos APT alinhados a Estados adotarem táticas, técnicas e procedimentos (TTPs) típicos do cibercrime, isso pode até beneficiar os defensores de redes, já que essas práticas são geralmente mais fáceis de detectar e combater do que ferramentas personalizadas e sofisticadas.

Por outro lado, há quem defenda que compreender o adversário é o primeiro passo essencial para gerenciar a ameaça que ele representa. Isso é detalhado no relatório de pesquisa de 2023, Cyber Attacker Profiling for Risk Analysis Based on Machine Learning: "Um dos componentes essenciais da análise de risco em cibersegurança é a definição de um modelo do atacante. O modelo especificado, ou perfil do atacante, afeta os resultados da análise de risco e, consequentemente, a seleção das medidas de segurança para o sistema de informação."

Reagindo aos ataques

Mesmo sem saber a identidade do seu adversário, ainda é possível mitigar o impacto dos ataques de ransomware. Aqui estão 10 passos recomendados de melhores práticas:

  • Combata a engenharia social. Implemente programas de treinamento e conscientização em segurança atualizados para educar sua equipe sobre táticas de ataque.
  • Proteja as contas. Garanta que as contas utilizem senhas longas, fortes e únicas, combinadas com autenticação multifator (MFA).
  • Segmente as redes. Divida a infraestrutura de TI em segmentos distintos para minimizar o 'raio de impacto' de possíveis ataques, restringindo a movimentação lateral de invasores e aumentando a segurança geral do sistema.
  • Implemente monitoramento contínuo. Utilize ferramentas como detecção e resposta de endpoints (EDR) ou detecção e resposta gerenciada (MDR) para identificar comportamentos suspeitos o mais cedo possível.
  • Teste regularmente os controles de segurança. Avalie a eficácia dos controles, políticas e processos de segurança por meio de testes frequentes, promovendo melhorias contínuas.
  • Implemente ferramentas avançadas de gerenciamento de vulnerabilidades e patches. Utilize soluções para gerenciar e corrigir vulnerabilidades de forma proativa, minimizando o risco de exploração por atacantes.
  • Proteja todos os ativos sensíveis com software de segurança em várias camadas. Garanta que desktops, servidores e dispositivos móveis/laptops estejam protegidos por soluções de segurança robustas de um fornecedor confiável.
  • Invista em inteligência de ameaças de um parceiro confiável. Obtenha informações sobre ameaças em tempo real para se manter atualizado sobre as tendências e ameaças emergentes, aprimorando a defesa.
  • Realize backups regulares conforme as melhores práticas. Tenha backups consistentes e seguros, alinhados às práticas recomendadas, para garantir a recuperação de dados em caso de ataque.
  • Desenvolva uma estratégia eficaz de resposta a incidentes e pratique periodicamente. Estabeleça planos claros para responder rapidamente a incidentes e realize exercícios para testar a eficácia da resposta.

De acordo com uma estimativa, o crime organizado foi responsável por 60% das violações de dados no ano passado, enquanto apenas 5% foram atribuídas a Estados-nação. No entanto, a participação dos Estados-nação está crescendo, e as violações em si podem ter um impacto significativo na sua organização. A conscientização contínua e o gerenciamento proativo de riscos são essenciais.