Kaspersky alerta: grupos de ransomware usam ferramentas de Red Teaming

A Kaspersky bloqueou, de janeiro a maio de 2022, uma média de 11 mil ataques de ransomware por dia ao redor do mundo. No mapa de localização das tentativas de ataques, o Brasil está no segundo grupo (com 5.600 a 13 mil usúarios afetados) mais afetado, atrás apenas de Rússia e Irã. A análise mostra ainda que esses grupos especializados estão usando ferramentas como CobaltStrike, Metasploit e outras para realizar as infecções — programas usados pelos times de segurança (Red Teaming) para avaliar o nível de proteção da empresa.

Detecções de Ransomware no mundo de janeiro a maio de 2022

Para entender melhor a relevância da informação, é importante saber que um ataque de ransomware tem algumas etapas. A primeira é o estudo da vítima (potencial em pagar o resgate e o valor potencial para ele) e a entrada do criminoso na rede corporativa da vítima — além do reconhecimento do “terreno” (localização dos ativos — informações confidenciais).

Depois, o cibercriminoso se move na rede, buscando garantir permissões de administrador para realizar o roubo dos dados e poder executar o comando de bloqueio de maneira automatizada em todas as máquinas. Após a conclusão da copia dos dados, é feito o bloqueio das informações na rede da vítima — o que paralisa a operação da organização — e a mensagem de resgate é apresentada.

A novidade nesse processo é que os grupos especializados em ransomware estão usando os próprios programas de Red Teaming das vítimas para garantir os acessos privilegiados e realizar o roubo das informações. Os Red Teaming são funcionários da empresa que trabalham na área de segurança e tem a função de avaliar a eficácia da segurança corporativa, realizando tentativas de invasão para isso, como testes de penetração (pentesters).

“O uso dessas ferramentas em ataques cibernéticos é uma tendência, pois a atividade maliciosa não é detectada por algumas soluções de segurança. O fato de programas de invasão pertencerem a empresa – vítima apenas adiciona maior complexidade ao ataque, pois é possível interpretar uma atividade como um “teste prático”. Esse detalhe mostra que uma segurança de qualidade é muito mais que a instalação de um programa. É necessário unir esforços humanos e ter processos claros para garantir que uma atividade maliciosa difarçada com certa legitimidade não será um risco para a operação das empresas”, explica Fabio Assolini, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina.

Para evitar este tipo de ataque, os especialistas da Kaspersky oferecem as seguintes recomendações:
Ransomware não deve ser medido pelo número de ataques, mas pelo impacto que causa. Ao trabalhar em um modelo de ameaça, esse é o principal fator a ser considerado, e não a probabilidade de ser atacado.
Para criar um modelo de proteção eficaz, é necessário focar nos estágios de detecção precoce. Por exemplo, a exploração de vulnerabilidades de rede, movimentos laterais e exfiltração de dados.
Recomenda-se que todos possam trabalhar em diferentes PlayBooks ou ter um plano de ação ou estratégia para cada operador de Ransomware.

Por fim, os exercícios de Purple Teaming, (metodologia em que as equipes de ataque (Red Team) e defesa (Blue Team) de uma empresa trabalham juntos e compartilham conhecimento para maximizar os recursos de defesa cibernética) podem ajudar as empresas a medir seus verdadeiros recursos de detecção. A Kaspersky oferece vários recursos para as empresas se defenderem contra ransomware. O Kaspersky Anti-Ransomware Tool for Business é uma ferramenta gratuita que protege computadores e servidores contra ransomware e outros tipos de malware. É compatível com outras soluções de segurança já instaladas.

Além disso, a Kaspersky é cofundadora da iniciativa ‘No More Ransom’, lançada em julho de 2016 junto com a Polícia Nacional Holandesa, Europol e McAfee, para fornecer um recurso útil para vítimas de ransomware. Hoje, o projeto conta com 163 parceiros em todo o mundo, incluindo a Polícia Nacional da Colômbia e o CSIRT de Buenos Aires. A plataforma está disponível em 36 idiomas e pode descriptografar 140 tipos diferentes de infecções de ransomware.