Resumo do ransomware: malware de bloqueio do sistema domina as manchetes

À medida que nos aproximamos do início não oficial do verão norte-americano, não parece que os grupos criminosos que executam esquemas de ransomware estejam planejando descansar. Ransomware esteve em todas as manchetes de notícias de segurança da informação na semana passada, com um novo relatório revelando que sua presença cresceu mais no ano passado do que nos últimos anos combinados.

Aqui está um resumo de histórias notáveis de ransomware que você pode ter perdido.

DBIR encontra ransomware aumentado em dois dígitos

O Relatório Anual de Investigações de Violação de Dados (DBIR) da Verizon Business foi divulgado e confirma o que muitos CISOs já sabem: o ransomware continua a atormentar os negócios. As instâncias de violação relacionadas a ransomware aumentaram 13%, um aumento maior do que nos últimos 5 anos combinados.

Os analistas avaliaram 23.896 incidentes de segurança entre 1º de novembro de 2020 e 31 de outubro de 2021 para o relatório. Desses, 5.212 foram violações confirmadas.

“Conforme os criminosos procuram alavancar formas cada vez mais sofisticadas de malware, é o ransomware que continua a ser particularmente bem-sucedido na exploração e monetização do acesso ilegal a informações privadas”, disse a Verizon Business em comunicado sobre as descobertas.

Como Rick Holland, um veterano de segurança e CISO da Digital Shadows, observou no Twitter, “25% de todas as violações estão relacionadas a ransomware. #DBIR E isso é apenas o que é relatado. Número real muito maior na minha opinião.”

Andy Jabbour, Analista da empresa de segurança Gate15, referindo-se à seção do relatório sobre ransomware twittou: “Esta seção é a sequência perfeita da descoberta do ano passado de #Ransomware aumentando drasticamente… Essa tendência continuou com *** um aumento de quase 13% este ano*** (um aumento tão grande quanto nos últimos cinco anos combinados).”

GoodWill caçando vítimas com malware

Em uma nova reviravolta no ransomware, pesquisadores da CloudSek dizem que um grupo de ransomware está usando o malware para arrecadar dinheiro para caridade. O chamado grupo de ransomware GoodWill exige que as vítimas realizem um ato de caridade em troca da chave de descriptografia.

“O grupo do tipo Robin Hood está forçando suas vítimas a doar para os pobres e fornecer assistência financeira aos pacientes necessitados”, dizem os pesquisadores em uma postagem no blog sobre o malware.

Uma vez infectadas, as vítimas podem “escolher” qual ato de caridade realizar em troca da chave. As escolhas incluem:

Doar roupas novas para os sem-teto, gravar a ação e postar nas redes sociais.
Levar cinco crianças menos afortunadas ao Dominos, Pizza Hut ou KFC para um deleite, tirar fotos e vídeos e publicá-los nas redes sociais.
Fornecer assistência financeira a qualquer pessoa que precise de atendimento médico urgente, mas não possa pagar, em um hospital próximo, gravar áudio e compartilhar com os operadores.

Seja com base em boas intenções ou não, os profissionais de segurança da informação e jurídicos dizem que não se deve ceder a essas demandas.

“O ransomware goodwill criptografa todos os arquivos e solicita que a vítima pague em atos de bondade (em vez de dinheiro) para recuperá-lo. Não faça isso. Mantenha um bom backup”, twittaram Courtney Troutman e Emily Worle, que twittam sob o arroba @SCBar_PMAP.

Cheerscrypt ransomware não é tão festivo

Pesquisadores da Trend Micro dizem ter observado uma família de ransomware baseada em Linux chamada Cheerscrypt que tem como alvo os servidores ESXi da VMware. Os pesquisadores dizem que o ransomware usa a tática de dupla extorsão, agora comum, que não apenas força as vítimas a pagar um resgate, mas também rouba dados e ameaça vazá-los se as vítimas não pagarem.

Os pesquisadores concluem seu blog observando que o ESXi é amplamente usado em configurações corporativas para virtualização de servidores e é um alvo popular para ataques de ransomware.

“Comprometer os servidores ESXi tem sido um esquema usado por alguns notórios grupos cibercriminosos porque é um meio de espalhar rapidamente o ransomware para muitos dispositivos”, dizem eles.

REvil está de volta… talvez

Pesquisadores da Akamai dizem que o infame grupo de ransomware conhecido como REvil pode voltar a mexer com os sistemas novamente. O REvil ficou conhecido pela primeira vez como a gangue responsável pelos ataques de ransomware contra a Kaseya e a JBS em 2021. Autoridades russas alegaram ter desmantelado o REvil em março, mas na semana passada, a Equipe de Resposta de Inteligência de Segurança da Akamai (SIRT) foi chamada para ajudar no que chamou de um ataque de camada 7 em um cliente de hospitalidade por um grupo que afirma ser REvil.

Larry Cashdollar, membro da Akamai SIRT, relata que o grupo lançou um ataque DDoS coordenado. O ataque não foi um ataque de ransomware, mas incluiu uma mensagem de 554 bytes exigindo pagamento em Bitcoin para interromper o ataque. Se é ou não realmente REvil, ou um grupo imitador, ainda está sendo investigado.

“Quando um grupo de ameaças muda suas técnicas, pode ser um possível pivô para um novo modelo de negócios, resultado de uma mudança drástica em seu conjunto de habilidades, uma cisão entre o grupo ou um imitador não afiliado tentando alavancar o hype desse grupo com dinheiro fácil de vítimas míopes e emocionalmente reativas”, escreveu ele. “É possível que o REvil esteja testando as águas da extorsão DDoS como um modelo de negócios lucrativo, mas achamos que é mais provável que estejamos vendo as táticas de medo associadas a campanhas anteriores de extorsão DDoS recicladas para uma nova rodada de campanhas”.