Kaspersky conclui que ransomware está mais complexo

A Kaspersky publicou suas previsões de ransomware para o restante de 2023. Apenas em 2022, foram bloqueados mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação ao ano anterior. Apesar de o início deste ano ter sido observado um pequeno declínio no número de bloqueios, os mesmos se tornaram mais sofisticados e direcionados, muitas vezes utilizando ferramentas de gangues que já encerraram suas atividades.

Os invasores seguem atacando praticamente todos os tipos de organizações, desde hospitais, até indústrias e governos. Apesar dos alvos serem praticamente os mesmos, os cinco grandes grupos de ransomware mudaram drasticamente ao longo do último ano. Os falecidos REvil e Conti, que ocupavam respectivamente o segundo e terceiro lugar em ataques no primeiro semestre de 2022, foram substituídos pelo Vice Society e pelo BlackCat no primeiro trimestre de 2023.

As gangues de ransomware também se tornaram mais produtivas, com grupos como o BlackCat ajustando suas técnicas ao longo do ano. A situação geopolítica também influencia a atuação de alguns grupos, que tomam partido político – um exemplo é o grupo russo Eternity. Este grupo criou todo um novo ecossistema, com uma nova variante de ransomware.

Para o restante de 2023, os especialistas da Kaspersky apresentaram três tendências principais de evolução para esse cenário: A primeira refere-se às funcionalidades incorporadas ao ransomware, como o recurso de auto propagação ou uma imitação dele. Black Basta, LockBit e Play estão entre os exemplos mais importantes que se disseminam por conta própria.

A segunda tendência é o uso indevido de um driver com fins maliciosos: algumas vulnerabilidades no driver de alguns programas antivírus foram exploradas pelas famílias de ransomware AvosLocker e Cuba, que usam uma técnica chamada BYOD (Bring Your Own Driver). Ao que consta, o driver anticheat do jogo Genshin Impact foi usado para acabar com a proteção de endpoints na máquina-alvo. A tendência continua sendo observada com vítimas importantes, como instituições governamentais em países europeus.

Por fim, os especialistas da Kaspersky destacam como as maiores gangues de ransomware estão adotando funcionalidades de código vazado ou código vendido por outros cibercriminosos, o que pode melhorar as funções de seu malware. Recentemente, o grupo LockBbit adotou pelo menos 25% do código vazado do Conti, e lançou uma nova versão totalmente baseada nele. Esse tipo de iniciativa facilita a afiliação de novos grupos de cibercriminosos que já estão acostumados a trabalhar com as famílias de ransomware mais antigas.

“As gangues de ransomware nos surpreendem o tempo todo e nunca param de mudar seu modus operante. Temos observado durante o último ano e meio que estão gradativamente transformando seus serviços em negócios completos. Isso torna até os criminosos amadores muito perigosos”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky.

A Kaspersky incentiva as organizações a seguirem as seguintes boas práticas:
Sempre mantenha o software atualizado em todos os dispositivos corporativos para evitar que criminosos explorem vulnerabilidades e se infiltrem na rede.

Concentre sua estratégia de defesa na detecção de movimentação lateral e na exfiltração de dados para a Internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos com sua rede. Configurem backups off-line que invasores não serão capazes de adulterar. Garanta que você possa acessá-los rapidamente quando necessário ou em caso de emergência.

Ative a proteção contra ransomware em todos os endpoints. A ferramenta Kaspersky Anti-Ransomware Tool for Business é gratuita e blinda os computadores e servidores de ransomware e outros tipos de malware, evita exploits e é compatível com as soluções de segurança já instaladas.

Instale soluções anti-APTs e de EDR, ativando as funcionalidades de descoberta e detecção de ameaças avançadas, investigação e rápida neutralização de incidentes. Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente e os qualifiquem regularmente com treinamentos profissionais. Tudo isso está disponível na estrutura Kaspersky Expert Security.