Proteção de Dados: Os maiores e piores ataques de ransomware de todos os tempos – Parte 2
Os piores ataques de ransomware – Esta é a continuação da história do ransomware e dos seus ataques nos últimos anos. Se você ainda não leu a primeira parte, acesse aqui…
Os maiores ataques de ransomware e variantes mais proeminentes
Dado o avanço das campanhas de ransomware e ataques, não é de surpreender que os maiores ataques de ransomware tenham ocorrido nos últimos anos. As demandas de resgate também estão aumentando.
Os relatórios indicam que as demandas médias giravam em torno de US$ 300 em meados dos anos 2000, mas hoje estão em média em torno de US$ 500. Normalmente, é atribuído um prazo para o pagamento e, se o prazo for cumprido, o pedido de resgate dobra ou os arquivos são destruídos ou permanentemente bloqueados.
O CryptoLocker foi uma das mais lucrativas cepas de ransomware do seu tempo. Entre setembro e dezembro de 2013, o CryptoLocker infectou mais de 250.000 sistemas. Ele ganhou mais de US$ 3 milhões para seus criadores antes que a botnet Gameover ZeuS, que foi usada para realizar os ataques, fosse colocada off-line em 2014 em uma operação internacional.
Posteriormente, seu modelo de criptografia foi analisado e agora existe uma ferramenta disponível on-line para recuperar arquivos criptografados comprometidos pelo CryptoLocker. Infelizmente, o fim do CryptoLocker apenas levou ao surgimento de várias variantes imitações de ransomware, incluindo os conhecidos clones CryptoWall e TorrentLocker.
O Gameover ZeuS ressurgiu em 2014, “na forma de uma campanha evoluída que envia mensagens de spam maliciosas”. Desde então, tem havido uma constante revolta no número de variantes e ataques, com alvos primários de alto valor no mercado. setor bancário, saúde e governo.
De abril de 2014 até o início de 2016, o CryptoWall estava entre as variedades de ransomware mais usadas, com várias formas de ransomware direcionadas a centenas de milhares de indivíduos e empresas. Em meados de 2015, a CryptoWall havia extorquido mais de US$ 18 milhões de vítimas, levando o FBI a divulgar um comunicado sobre a ameaça.
Em 2015, uma variedade de ransomware conhecida como TeslaCrypt ou Alpha Crypt atingiu 163 vítimas, ganhando US$ 76.522 pelos atacantes por trás dela. A TeslaCrypt geralmente exigia resgates pelo Bitcoin, embora em alguns casos os cartões PayPal ou MyCash fossem usados. O valor do resgate variou de US$ 150 a US$ 1.000.
Também em 2015, um grupo conhecido como Armada Coletiva realizou uma série de ataques contra bancos gregos. “Ao visar essas três instituições financeiras gregas e criptografar arquivos importantes, eles esperam convencer os bancos a pagar a quantia de € 7 milhões cada.
Escusado será dizer que, sendo capaz de puxar três tipos diferentes de ataques ao longo de cinco dias, é bastante preocupante quanto à segurança bancária ”, relatou o Digital Money Times. Os atacantes exigiram um resgate de 20.000 bitcoins (€ 7 milhões) de cada banco, mas em vez de pagá-los, os bancos aumentaram suas defesas e evitaram novas interrupções no serviço, apesar das tentativas subsequentes de Armada.
Para os ataques contra grandes empresas, os resgates foram de até US$ 50 mil, embora um ataque de ransomware no ano passado contra um hospital de Los Angeles, o Centro Médico Presbiteriano de Hollywood (HPMC), supostamente exigiu um resgate de US$ 3,4 milhões. O ataque forçou o hospital a voltar à era da pré-computação, bloqueando o acesso à rede da empresa, e-mail e dados cruciais do paciente por dez dias.
Em última análise, a empresa pagou apenas US$ 17.000 para recuperar o acesso a seus dados críticos depois de ser bloqueada de sistemas de computadores essenciais e serviços de comunicação.
Uma atualização da HPMC indica que os relatórios iniciais de uma demanda de resgate de US$ 3,4 milhões eram imprecisos e que o hospital pagou os US$ 17.000 solicitados (ou 40 Bitcoins na época) para restaurar as operações com rapidez e eficiência.
Pouco mais de uma semana depois, o Departamento de Serviços de Saúde do Condado de Los Angeles foi infectado com um programa que bloqueou o acesso da organização a seus dados. No entanto, a agência isolou com sucesso os dispositivos infectados e não pagou o resgate.
Em março de 2016, o Ottawa Hospital foi atingido por um ransomware que afetou mais de 9.800 máquinas – mas o hospital respondeu limpando as unidades. Graças a processos de backup e recuperação diligentes, o hospital conseguiu vencer os atacantes em seu próprio jogo e evitar o pagamento de resgate.
Naquele mesmo mês, o Hospital Metodista de Kentucky, o Centro Médico do Vale do Chino e o Hospital do Vale do Deserto, na Califórnia, foram atingidos por ransomware. “O diretor de sistemas de informação do Hospital Metodista do Kentucky Jamie Reid nomeou o malware envolvido como Locky, um novo bug que criptografa arquivos, documentos e imagens e os renomeia com a extensão .locky”, relata BBC.com observando que nenhum dos hospitais impactados pagaram o resgate.
Depois de descobrir o ataque em 18 de março de 2016, a maioria dos sistemas foi restaurada em 24 de março e nenhum dado do paciente foi comprometido. No entanto, o ataque também causou interrupções em vários outros hospitais, pois os sistemas compartilhados foram colocados off-line.
Março de 2016 também viu a aparência da variante do ransomware Petya. O Petya é um ransomware avançado que criptografa a tabela de arquivos mestre de um computador e substitui o registro mestre de inicialização por uma nota de resgate, tornando o computador inutilizável, a menos que o resgate seja pago. Em maio, evoluiu ainda mais para incluir recursos diretos de criptografia de arquivos como um método à prova de falhas. O Petya também estava entre as primeiras variantes de ransomware a serem oferecidas como parte de uma operação de ransomware como serviço.
Em um artigo de maio de 2016, o ZDNet reportou “Segundo as detecções dos pesquisadores da Kaspersky Lab, as três principais famílias de ransomware durante o primeiro trimestre do ano foram: Teslacrypt (58,4 por cento), CTB-Locker (23,5 por cento) e Cryptowall (3,4 por cento). ). Todos esses três usuários infectados principalmente por e-mails de spam com anexos maliciosos ou links para páginas da web infectadas. ”
Em meados de 2016, a Locky consolidou seu lugar como uma das variedades de ransomware mais comumente usadas, com a pesquisa do PhishMe informando que o uso do Locky ultrapassou o CryptoWall em fevereiro de 2016.
Na sexta-feira negra (25 de novembro) de 2016, a Agência Municipal de Transportes de São Francisco foi vítima de um ataque de ransomware [URL: https://arstechnica.com/security/2016/11/san-francisco-muni-hit-by-black-friday-ransomware-attack/] que interrompeu os sistemas de bilhetagem e gerenciamento de ônibus. Os atacantes exigiram um imenso resgate de 100 Bitcoins (o equivalente a cerca de US$ 73.000 na época), mas graças à resposta rápida e aos abrangentes processos de backup, o SFMTA conseguiu restaurar seus sistemas em dois dias.
Apesar de não ter que pagar o resgate, ainda havia alguns custos suportados pelo SFMTA, já que os passageiros podiam andar sem pagar as tarifas durante o período de dois dias em que os sistemas estavam em queda. Acredita-se que o ransomware usado no ataque tenha sido Mamba ou HDDCryptor.
Uma das primeiras variantes de ransomware para o Apple OS X também surgiu em 2016. O KeRanger impactou principalmente os usuários que utilizavam o aplicativo Transmission, mas afetou cerca de 6.500 computadores em um dia e meio. KeRanger foi rapidamente removido da transmissão no dia seguinte à sua descoberta.
2016 foi um ano importante para ataques de ransomware, com relatórios do início de 2017 estimando que o ransomware rendeu aos cibercriminosos um total de US$ 1 bilhão.
O futuro do Ransomware
Esses incidentes estão catapultando o ransomware para uma nova era, na qual os cibercriminosos podem facilmente replicar ataques menores e executá-los contra corporações muito maiores para exigir somas de resgate maiores.
Enquanto algumas vítimas são capazes de mitigar ataques e restaurar seus arquivos ou sistemas sem pagar resgates, é necessária apenas uma pequena porcentagem de ataques para gerar receita substancial – e incentivo – para os cibercriminosos.
Mesmo pagar um resgate não garante que você terá acesso aos seus arquivos. O ransomware CryptoLocker “extorquiu US$ 3 milhões dos usuários, mas não descriptografou os arquivos de todos que pagaram”, relata a CNET, com base em descobertas de um artigo do Security Ledger.
Uma pesquisa de Datto descobriu que os atacantes negligenciaram o desbloqueio dos dados das vítimas em um em cada quatro incidentes em que os resgates foram pagos.
As operações de ransomware continuam a ser mais criativas na monetização de seus esforços, com os ransomwares Petya e Cerber sendo pioneiros em esquemas de ransomware como serviço.
Os autores de Cerber eram especialmente oportunistas, oferecendo suas operações de ransomware como um serviço em troca de um corte de 40% dos lucros obtidos com os resgates pagos.
Segundo os pesquisadores da Check Point, a Cerber infectou 150.000 vítimas somente em julho de 2016, ganhando cerca de US$ 195.000 – dos quais US$ 78.000 foram para os autores do ransomware.
O potencial de lucro dos autores e operadores de ransomware também impulsiona a inovação rápida e a concorrência acirrada entre os cibercriminosos.
O ZDNet informou recentemente sobre o ransomware PetrWrap, que é construído com o uso de códigos trincados retirados da Petya.
Para as vítimas, a fonte do código não importa – se você está infectado com Petya ou PetrWrap, o resultado final é o mesmo: seus arquivos são criptografados com um algoritmo tão forte que atualmente não existem ferramentas de descriptografia.
O que vem a seguir para o ransomware? Um novo relatório do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido e da Agência Nacional de Crimes (NCA, na sigla em inglês), conforme relatado em um artigo da ZDNet, alerta para o desenvolvimento de ameaças como ransomware-como-serviço e ransomware móvel.
Além disso, 2017 viu o primeiro ataque de ransomware relatado em dispositivos conectados. De acordo com o The Guardian, 55 câmeras de tráfego foram infectadas com o ransomware WannaCry.
Embora esse ataque tenha causado poucos danos, todos os dispositivos da Internet das Coisas (como TVs inteligentes, rastreadores de condicionamento físico etc.) são vulneráveis. A taxa na qual a IoT está crescendo, combinada com a insegurança amplamente divulgada dos dispositivos IoT, fornece uma nova fronteira para os operadores de ransomware.
As práticas recomendadas para proteção de ransomware, como backups regulares e manter o software atualizado, não se aplicam à maioria dos dispositivos conectados, e muitos fabricantes de IoT são lentos ou simplesmente negligentes quando se trata de liberar patches de software.
À medida que as empresas se tornam cada vez mais dependentes de dispositivos IoT para executar operações, pode ocorrer um aumento nos ataques de ransomware em dispositivos conectados.
A infraestrutura crítica representa outro alvo preocupante para futuros ataques de ransomware, com o diretor do escritório de gerenciamento de desempenho corporativo do DHS, Neil Jenkins, alertando na RSA Conference de 2017 que as concessionárias de água e infraestrutura semelhante poderiam gerar alvos viáveis e de alto valor para os invasores. Jenkins fez referência a um ataque de ransomware de janeiro de 2017 que desativou temporariamente os componentes do sistema de cartões-chave de um hotel austríaco como um antecessor em potencial para ataques mais significativos à infraestrutura que estava por vir.
Protegendo contra ataques de ransomware
Há etapas que os usuários finais e as empresas podem adotar para reduzir significativamente o risco de serem vítimas de ransomware. Conforme mencionado acima, as melhores práticas fundamentais de segurança cibernética são fundamentais para minimizar os danos do ransomware. Aqui estão quatro práticas de segurança vitais para se ter em qualquer negócio:
- Backups frequentes e testados: O backup de todos os arquivos e sistemas vitais é uma das defesas mais fortes contra o ransomware. Todos os dados podem ser restaurados para um ponto de salvaguarda anterior. Os arquivos de backup devem ser testados para garantir que os dados estejam completos e não corrompidos.
- Atualizações regulares e estruturadas: A maioria dos softwares usados pelas empresas é atualizada regularmente pelo criador do software. Essas atualizações podem incluir patches para tornar o software mais seguro contra ameaças conhecidas. Toda empresa deve designar um funcionário para atualizar o software. Menos pessoas envolvidas na atualização do sistema significam menos vetores potenciais de ataque para criminosos.
- Restrições Sensíveis: Certas limitações devem ser impostas aos funcionários e contratados que:
- Trabalhar com dispositivos que contenham arquivos, registros e / ou programas da empresa.
- Use dispositivos conectados a redes de empresas que poderiam se tornar vulneráveis.
- São trabalhadores terceirizados ou temporários?
- Rastreamento de Credencial Apropriado: Qualquer funcionário, contratado e pessoa que tenha acesso aos sistemas cria um ponto de vulnerabilidade potencial para o ransomware. Rotatividade, falha na atualização de senhas e restrições impróprias podem resultar em probabilidades ainda mais altas de ataque nesses pontos.
Apesar de essas práticas recomendadas serem bastante conhecidas, muitas pessoas não fazem backup regularmente de seus dados, e algumas fazem isso apenas em suas próprias redes, o que significa que os backups podem ser comprometidos por um único ataque de ransomware.
A defesa eficaz do ransomware depende, em última análise, da educação. Usuários e empresas devem reservar um tempo para aprender sobre suas melhores opções de backups automáticos de dados e atualizações de software.
A educação sobre os sinais indicadores de táticas de distribuição de ransomware, como ataques de phishing, downloads diretos e sites falsificados, deve ser a principal prioridade para quem usa um dispositivo conectado atualmente.
As empresas também devem implementar soluções de segurança que permitam proteção avançada contra ameaças. As ferramentas EDR (Detecção e Resposta de Endpoint) monitoram as atividades em endpoints para identificar e mitigar ameaças.
O Sophos Central Endpoint e o Sophos InterceptX oferece recursos de Detecção e Resposta de Endpoint que podem ajudá-lo a evitar que o ransomware afete seus negócios.
A capacidade do Sophos InterceptX de detectar e bloquear ameaças avançadas em todo o ciclo de vida do ataque nos permitiu detectar e conter com êxito o WannaCry para todos os nossos clientes avançados de proteção contra ameaças.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
– 10 dicas para evitar perda de dados.
– A prevenção de perda de dados (DLP) tradicional está morrendo?
– Proteção de Dados – Aqui estão as maiores ameaças de segurança cibernética a serem observadas em 2018.