Mercado fechará em 1 h 45 min
  • BOVESPA

    100.796,87
    +2.124,61 (+2,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.247,74
    +506,24 (+1,06%)
     
  • PETROLEO CRU

    109,87
    +2,25 (+2,09%)
     
  • OURO

    1.825,40
    -4,90 (-0,27%)
     
  • BTC-USD

    20.718,62
    -481,93 (-2,27%)
     
  • CMC Crypto 200

    449,40
    -12,39 (-2,68%)
     
  • S&P500

    3.901,36
    -10,38 (-0,27%)
     
  • DOW JONES

    31.444,01
    -56,67 (-0,18%)
     
  • FTSE

    7.258,32
    +49,51 (+0,69%)
     
  • HANG SENG

    22.229,52
    +510,46 (+2,35%)
     
  • NIKKEI

    26.871,27
    +379,30 (+1,43%)
     
  • NASDAQ

    12.046,75
    -93,75 (-0,77%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5378
    -0,0146 (-0,26%)
     

Vítimas de ransomware caem 40% e empresas têm mais espaço para negociar

Os casos de ataques de ransomware bem-sucedidos caíram 40% no primeiro trimestre de 2022, um número que não indica que a prática está caindo em desuso, mas sim, está relacionado a práticas mais direcionadas das quadrilhas e também ao fim das atividades do Conti, um dos mais prolíficos bandos dos últimos anos. Enquanto o total de comprometimentos caiu de forma significativa, entretanto, aumentou o número de acessos à venda, indicando uma nova abordagem por parte dos criminosos.

Os números aparecem em um relatório da KELA, empresa israelense de cibersegurança, que ainda coloca o sequestro digital no topo das ameaças digitais. Há, também, uma mudança na abordagem, com os bandidos dando mais tempo para que as empresas entrem em contato e negociem um resgate, antes mesmo de divulgarem em sites da dark web os nomes das vítimas, algo que, invariavelmente, acaba caindo também na imprensa e nas análises de pesquisadores do mercado.

O objetivo, novamente, seria garantir um maior número de pagamentos, principalmente diante de normas internacionais e sistemas de compliance internos que impedem ou regulam resgates ou negociações com bandidos. Ao darem uma maior janela de sigilo, também aumenta a pressão, já que a promessa sempre é de danos à reputação em caso da divulgação e uma presença ampliada, já que além da aparição do nome, caso o valor não seja pago, invariavelmente virá a divulgação dos dados.

<em>Algumas quadrilhas preferem ocultar nomes de empresas atacadas em divulgação inicial, como forma de ampliar possibilidade de resgate e tempo de negociação (Imagem: Reprodução/KELA)</em>
Algumas quadrilhas preferem ocultar nomes de empresas atacadas em divulgação inicial, como forma de ampliar possibilidade de resgate e tempo de negociação (Imagem: Reprodução/KELA)

Nestes casos, contadores de tempo e indicativos de arquivos a serem vazados até aparecem em sites internos, mas sem os nomes das companhias. Elas são identificadas por país, tamanho e ramo de atuação, bem como com os tradicionais volumes e amostras de dados que, novamente, são trabalhados de forma a não permitirem identificação. Bandos que vêm ganhando destaque como Midas e Lorenz estão entre os adeptos da prática.

LockBit assume a ponta, com setor financeiro ainda na mira

O fim das atividades do Conti, um dos principais bandos de ransomware em atividade nos últimos anos, aconteceu apenas em maio, mas os problemas internos já se refletem nas atividades no primeiro trimestre de 2022. A quadrilha, que normalmente era a líder em ataques, ficou em segundo lugar, com 18% dos incidentes registrados entre janeiro e março; o LockBit aparece em primeiro, com 32%, com Alphv completando o ranking dos três maiores com 8%.

A KELA, entretanto, chama a atenção para o segundo maior total de todos, uma soma de 31% composta por diferentes amostras de ransomware. O número mostra a ascensão de pequenos grupos e ataques direcionados, que podem ser tão efetivos e devastadores quanto aqueles disseminados em massa, mas cuja pluralização torna a detecção e defesa mais difíceis.

<em>Redução nas atividades do Conti levou LockBit ao topo do ranking de quadrilhas de ransomware mais ativas; relatório chama a atenção também para o volume de grupos menores e mais direcionados (Imagem: Reprodução/KELA)</em>
Redução nas atividades do Conti levou LockBit ao topo do ranking de quadrilhas de ransomware mais ativas; relatório chama a atenção também para o volume de grupos menores e mais direcionados (Imagem: Reprodução/KELA)

No total, foram 698 golpes bem-sucedidos registrados entre janeiro e março, abaixo de 982 no final de 2021. O setor financeiro foi o mais atingido mais uma vez, com um aumento de 40% no número de vítimas, enquanto serviços profissionais, saúde, indústria e tecnologia completam os cinco maiores. Entre os países, os Estados Unidos também permaneceram no topo, enquanto a França deixou de ser a quinta mais atacada, com um ranking composto pelo Reino Unido, Itália, Alemanha e Canadá.

Portas abertas para novos golpes

Em seu relatório, a KELA também chamou a atenção para o crescimento no número de acessos à venda, resultado da pulverização dos serviços ligados à economia de ransomware. Muitas quadrilhas, em vez de realizarem toda a cadeia de um golpe, do comprometimento ao travamento dos dados, preferem vender as portas de entrada para terceiros, gerando um aumento de 15% nesse aspecto.

Em média, tais aberturas ficam à venda por menos de dois dias, com 116 grupos aparecendo em fóruns da dark web com ofertas desse tipo no primeiro trimestre. Aqui, se misturam bandos conhecidos como o Novelli, que presta esse tipo de serviço desde 2019, e o Chiftlocal, que surgiu em março deste ano já como um dos maiores do ramo. Falhas em servidores, credenciais inseguras e acessos a VPNs estão entre os caminhos de intrusão mais populares.

O Brasil aparece como o terceiro país mais frequente nesse tipo de venda, atrás dos Estados Unidos e Reino Unido. Nosso país surge como alvo principal do grupo Novelli, enquanto, de maneira geral, os setores financeiros, saúde e educação são os mais visados na comercialização e obtenção de acesso inicial, que podem levar a golpes de ransomware na sequência.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos