Acompanhar a evolução do ransomware, de um pequeno crime a uma atividade de grande retorno econômico para empreendimentos criminosos globais, ressalta por que as empresas devem estar profundamente preocupadas com a ameaça. Embora seu crescimento explosivo nos últimos anos possa fazer parecer o contrário, o ransomware não surgiu do nada.
Um esquema antigo
Embora o ransomware tenha estado consistentemente nas manchetes nos últimos cinco anos, a ideia de tornar arquivos ou computadores de usuários reféns — criptografando arquivos, dificultando o acesso a sistemas ou por outros métodos — e depois exigir um resgate para devolvê-los é bastante antiga.
No final da década de 1980, criminosos já estavam fazendo computadores ou arquivos reféns em troca de dinheiro enviado pelo serviço postal. Um dos primeiros ataques de ransomware documentados foi o trojan da AIDS (Vírus PC Cyborg), que foi lançado via disquete em 1989. As vítimas precisavam enviar US$ 189 para uma caixa postal. no Panamá para restaurar o acesso aos seus sistemas, mesmo sendo um vírus simples que utilizava criptografia simétrica.
Monetização
Apesar de sua longa história, os ataques de ransomware ainda não eram tão comuns nos anos 2000 — provavelmente por conta de dificuldades na cobrança de pagamentos. No entanto, o surgimento das criptomoedas, como o Bitcoin em 2010, mudou esse cenário. Ao fornecer um método fácil e não rastreável para receber o pagamento das vítimas, as moedas virtuais criaram a oportunidade para que o ransomware se tornasse um negócio lucrativo.
O e-crime — uma ampla categoria de atividades maliciosas que inclui todos os tipos de ataques de ciber crime, incluindo malware, trojans bancários, ransomware, mineware (cryptojacking) e crimeware — aproveitou a oportunidade de monetização criada pelo Bitcoin. Isso resultou em uma proliferação substancial de ransomware a partir de 2012. No entanto, esse modelo de negócios de ransomware ainda é imperfeito, porque, embora os pagamentos em Bitcoin sejam transações fáceis para os criminosos usarem, eles nem sempre são tão fáceis para os seus alvos, que não são especialistas em tecnologia. Para garantir o pagamento, alguns criminosos chegaram ao ponto de abrir call centers para fornecer suporte técnico e ajudar as vítimas a se inscreverem no Bitcoin — mas isso leva tempo e custa dinheiro.
À medida que começou a ganhar mais popularidade, os desenvolvedores de ransomware reconheceram que esse era exatamente o método de conseguir dinheiro que buscavam. As transações envolvendo Bitcoin forneceram aos adversários os meios para receber pagamentos instantâneos, mantendo o anonimato, sem as restrições das instituições financeiras tradicionais.
Surgimento do CryptoLocker
Tudo estava perfeitamente alinhado para a chegada do CryptoLocker em 2013. Essa nova e revolucionária geração de ransomware não só aproveitou o poder das transações do Bitcoin, como também o combinou com formas mais avançadas de criptografia. O CryptoLocker utilizava pares de chaves RSA de 2.048 bits gerados por um servidor de comando e controle e entregues às vítimas para criptografar os arquivos, garantindo que elas não tivessem saída, a menos que pagassem uma quantia de cerca de US$ 300 pela chave.
O Trojan bancário Gameover Zeus se tornou um mecanismo de entrega do CryptoLocker. Os atores de ameaças por trás da botnet estavam entre os primeiros a perceber verdadeiramente o valor potencial do ransomware com criptografia forte, para estender seus lucros além dos tradicionais ataques de Automated Clearing House (ACH) e fraude eletrônica que têm como alvo os clientes de instituições financeiras. Os agentes por trás do CryptoLocker encontraram uma mina de ouro, dando início à criminosa Corrida do Ouro do ransomware.
O CryptoLocker Gameover Zeus foi encerrado em uma operação liderada pelo FBI e com assistência técnica de pesquisadores da CrowdStrike. Embora tenha ficado fora de operação sete meses após sua implementação, ele serviu como prova para toda a comunidade de ciber crimes do enorme potencial comercial do ransomware. Este foi o verdadeiro momento da virada para o crescimento acelerado do ransomware.
Em poucos meses, pesquisadores de segurança começaram a encontrar um enorme número de clones do CryptoLocker in the wild, e criminosos do mundo todo estavam correndo para conseguir uma fatia desse bolo. Desde então, muitas quadrilhas do crime organizado transferiram investimentos e recursos de negócios principais mais antigos, incluindo antivírus falsos, para operações de ransomware. Os tecnólogos criminais vêm fazendo hora extra para atender a esses possíveis clientes, acionando operações especializadas para desenvolver melhores códigos de ransomware e componentes de kits de exploit, inundando os mercados da dark web com seus produtos.
O advento do Big Game Hunting (BGH)
Para otimizar seus esforços, os operadores de ransomware decidiram abandonar o estilo de ataque "spray and pray" que dominava o mercado de ransomware e se concentrar no "Big Game Hunting" (BGH). O Big Game Hunting (BGH) combina ransomware com as técnicas, táticas e procedimentos (TTPs) comuns em ataques direcionados contra organizações maiores.
Em vez de lançar um grande número de ataques de ransomware contra alvos pequenos, o objetivo do Big Game Hunting (BGH) é concentrar esforços em menos vítimas, o que pode gerar um retorno financeiro maior — um que valha o tempo e o esforço dos criminosos. Essa transição foi tão pronunciada que o Big Game Hunting (BGH) foi reconhecido como uma das tendências mais proeminentes que afetam o ecossistema do e-crime no Relatório de Ameaças Globais de 2020 da CrowdStrike®.
Em 2020, os Serviços CrowdStrike observaram que havia uma evolução e proliferação contínua de adversários de e-crime utilizando técnicas de ransomware de Big Game Hunting (BGH). Essa tendência continuará em 2021 — um exemplo recente de destaque é o ataque CARBON SPIDER/DarkSide a um oleoduto dos EUA.
Atores envolvidos com ransomware aumentam a pressão
Os Serviços CrowdStrike observaram que adversários envolvidos com e-crime vêm utilizando diversas técnicas para aumentar a pressão sobre as organizações vítimas para que paguem os valores exigidos por extorsão. Enquanto em anos anteriores adversários envolvidos com e-crime de ransomware raramente eram observados extraindo dados, em 2020 foi possível ver uma adoção generalizada de ransomware com táticas de extorsão com vazamento de dados entre vários grupos de e-crime. Esse método envolve criptografar o ambiente da organização vítima e também extrair dados com a ameaça de vazá-los caso o valor exigido por meio de extorsão não seja pago.
Não só o número de websites de e-crimes de vazamento de dados cresceu, como os atores de ameaças também refinaram seus métodos de vazamento de dados. Em geral, os adversários de e-crime vazam dados extraídos lentamente, armazenando o que consideram ser os dados mais sensíveis para o final visando aumentar a pressão sobre a organização vítima para que ela pague o valor exigido por extorsão, em vez de publicar todos os dados extraídos de uma só vez.
Durante vários incidentes recentes de ransomware, após implementar ransomware no ambiente da organização vítima, adversários envolvidos com e-crime utilizaram credenciais roubadas para obter acesso à instância de e-mail da organização vítima para enviar e-mails relacionados à extorsão aos usuários exigindo pagamento para evitar que dados extraídos vazassem. Em outros casos, adversários envolvidos com e-crime ligaram e assediaram funcionários de uma organização vítima após uma infecção por ransomware. Por fim, a CrowdStrike também observou que os atores de ameaças aumentam a pressão por pagamento com ameaças concretas de ataque de negação de serviço distribuído (DDoS) caso o pagamento do resgate não seja feito.
Os adversários envolvidos com e-crime colaboram entre si
A CrowdStrike também observou colaboração formal entre adversários envolvidos com e-crime, bem como compartilhamento de táticas. Em junho de 2020, o autointitulado “Maze Cartel” foi criado quando TWISTED SPIDER, VIKING SPIDER e os operadores do ransomware LockBit entraram em um aparente acordo comercial colaborativo. Depois que isso ocorreu, vazamentos associados ao Ragnar Locker do VIKING SPIDER começaram a aparecer no website de vazamento de dados do TWISTED SPIDER e o Maze ransomware começou a implementar ransomware utilizando software de virtualização comum, uma tática originalmente desenvolvida pelo VIKING SPIDER.
O Futuro do ransomware
Nos últimos anos, os adversários envolvidos com e-crime que utilizam ransomware de Big Game Hunting (BGH) avançaram rapidamente em termos de capacidade e sofisticação. É razoável esperar que essa tendência continue em ritmo acelerado com o mesmo objetivo em mente – aplicar a maior pressão possível para que as organizações paguem valores de extorsão cada vez maiores.
A CrowdStrike espera que adversários envolvidos com e-crime sigam refinando suas táticas de extorsão de vazamento de dados com uso de ransomware desenvolvendo ferramentas de exfiltração cada vez mais sofisticadas que possam ser amplamente implementadas e automatize a exfiltração de dados buscando, identificando e extraindo dados confidenciais por palavra-chave.
Pesquisa "Cenário do ransomware" da Crowdstrike
A CrowdStrike entrevistou 1.100 líderes globais de segurança sobre ransomware. Confira o que eles disseram.
Baixe agora
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
