O ano do ransomware: como não ser a próxima vítima

Conforme as organizações se ajustavam ao trabalho remoto induzido pela pandemia, os especialistas em segurança cibernética temiam que os cibercriminosos tirassem proveito de hábitos de segurança relaxados e, se isso acontecesse, as consequências poderiam resultar em ataques cibernéticos massivos.

Bem, durante o pior da Covid-19, as campanhas de phishing dispararam, muitas delas centradas nas preocupações com o coronavírus, nos testes e, mais tarde, nas vacinas. E agora estamos vendo o impacto dessas campanhas – um aumento nos ataques de ransomware. A Sophos relatou que 51% das organizações em todo o mundo foram alvo de um ataque de ransomware no ano passado, com criminosos criptografando dados com sucesso em 73% desses casos. Neste momento, não apenas parece que cada novo anúncio de ransomware é maior do que o anterior, mas estamos vendo como o ransomware pode impactar a vida cotidiana. Entre os exemplos, os agentes da ameaça retomaram o ataque aos cuidados de saúde, retirando o acesso a equipamentos como máquinas de ressonância magnética e de raios-X e dados de pacientes.

Embora muitos dos ataques tenham como alvo empresas de pequeno e médio porte – até mesmo meu veterinário local teve seus registros criptografados – eles também foram atrás de peixes maiores, mais significativamente no tanque de infraestrutura crítica. O ataque do Colonial Pipeline criou um pânico que levou à escassez de gás. Grupos de cibercriminosos como REvil fecharam cadeias de suprimentos de alimentos e agora são responsáveis pelo mais recente ataque de ransomware ao fornecedor de software Kaseya, que afetou centenas de empresas em todo o mundo. REvil está extorquindo US$ 70 milhões da Kaseya, o maior resgate até agora, pelo menos até o momento desta escrita.

Com a mesma rapidez com que os ataques de ransomware estão acontecendo, e com alvos maiores e mais críticos, não demorará muito para vermos resgates de mais de US$ 100 milhões.

É tudo uma questão de jogo final – ganho financeiro para criminosos

Não importa onde o ransomware aparece no sistema. Nesse ponto, se forem afetados, as equipes de resposta a incidentes precisarão dizer à liderança para desligar tudo até que o ataque seja resolvido. Você não pode correr o risco de que a ameaça afete todo o resto e dê aos cibercriminosos a capacidade de “saltar para a ilha” entre os clusters e infectar qualquer outra coisa. Os atores da ameaça têm um objetivo principal: ganhar o máximo de dinheiro possível. Eles não se importam com quanta destruição isso causa, contanto que obtenham os ganhos.

Todas as organizações são suscetíveis a ransomware, mas algumas correm maior risco do que outras. Duas organizações podem parecer quase idênticas – mesmo setor, mesmas regulamentações, abordagem semelhante à segurança cibernética – e, ainda assim, uma tem maior probabilidade de ser atacada do que a outra. Parte disso é devido ao comportamento humano – um clique por engano em um e-mail de phishing por um funcionário de um fornecedor pode levar uma empresa segura pela toca do coelho do ransomware.

Existem muitos problemas em jogo que aumentam a suscetibilidade da sua organização. O setor de segurança está apenas começando a entender esses fatores críticos que podem fazer uma organização se destacar como um alvo fácil mais provável. Por exemplo, dados derivados da varredura de portas de administração remota visíveis publicamente, parâmetros de configuração de e-mail, níveis de patch de aplicativo e sistema operacional e outros fatores na arquitetura geral de TI podem ser usados para derivar um perfil de risco relativo. Combinando esses dados com outros fatores, como o volume dos dados de credenciais da organização encontrados na dark web, é possível estimar se os adversários são mais ou menos propensos a atacar, em particular em relação a outros no mesmo setor ou aqueles que o fizeram ser atacado anteriormente.

Existem soluções que aproveitam o machine learning para ajudar as organizações a criar uma pontuação de risco com base em suas vulnerabilidades e até mesmo estender a análise de classificação de vulnerabilidade a terceiros em sua cadeia de suprimentos. O que aconteceu com a Target há alguns anos deveria ter sido um alerta sobre o risco de terceiros, mas muitas empresas ainda ignoram o fato de que um erro ou vulnerabilidade no sistema de um fornecedor pode resultar em um ataque. Os criminosos podem facilmente criar um túnel por meio desses fornecedores ou terceiros até uma empresa onde danos reais podem ser causados e mais dinheiro pode ser feito.

Qual é a suscetibilidade do ransomware

Como sua empresa responde às seguintes perguntas:

• Impacto financeiro. Qual é o risco que você está enfrentando com sua postura de segurança cibernética e como você equilibra isso com os gastos com base na perda financeira potencial?
• Vulnerabilidade cibernética. Quão vulnerável é sua organização a um ataque cibernético?
• Você conhece os riscos de terceiros?
• Como os invasores externos veem você? Os invasores têm mais percepções sobre sua empresa do que você pode imaginar, mesmo que essas percepções venham de ataques a outras organizações em seu setor. Eles sabem o que acontece quando a infraestrutura crítica é atingida, por exemplo, viram a reação da Colonial Pipeline e procurarão explorar empresas semelhantes com vulnerabilidades semelhantes.

Dependendo de como as empresas respondem a esses problemas, uma análise derivada de ML e IA pode fornecer insights sobre como você se compara a empresas que sofreram um ataque de ransomware e como você pode evitar se tornar a próxima vítima.