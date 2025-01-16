Conforme nos aproximamos do fim de 2024, o ransomware continua sendo uma ameaça dominante e em evolução contra qualquer organização. Os cibercriminosos estão mais sofisticados e criativos do que nunca. Eles integram novas tecnologias, aproveitam as pressões geopolíticas e até usam as regulamentações legais a seu favor.
O que antes parecia um crime disruptivo, mas relativamente simples, evoluiu para um desafio global de várias camadas que continua a ameaçar empresas e governos.
Vamos dar uma olhada no estado do ransomware hoje. Vamos nos concentrar em como os cibercriminosos estão mudando de Tatics, contando com a Tecnologia de IA, fazendo exploração de frameworks legais e muito mais.
Um dos desenvolvimentos mais significativos no cenário do ransomware foi o uso de inteligência artificial (IA) para aprimorar ataques de phishing e engenharia social. Historicamente, os e-mails dephishing geralmente continham sinais óbvios de fraude: palavras com erros ortográficos, gramática ruim e mensagens genéricas. No entanto, novas ferramentas de IA generativa podem criar e-mails altamente personalizados e com aparência profissional, e isso mudou drasticamente o cenário. Isso provavelmente explica por que os volumes de ataques de phishing e as taxas de sucesso têm aumentado, já que as campanhas de phishing estão mais fáceis de gerar e estão mais convincentes do que nunca.
A IA permite que agentes da ameaça explorem grandes quantidades de dados para criar e-mails convincentes direcionados a indivíduos ou Organizações específicas. Esses e-mails podem conter informações contextuais que os fazem parecer legítimos, aumentando significativamente a probabilidade de sucesso. A capacidade de realizar ataques tão precisos é o motivo pelo qual o ransomware tem sido particularmente devastador para setores como o de saúde, onde qualquer interrupção pode ter consequências que ameaçam a vida.
Além disso, a tecnologia deepfake gerada por IA começou a desempenhar um papel na engenharia social. Os criminosos cibernéticos agora podem criar deepfakes de áudio e vídeo de executivos da empresa para enganar os funcionários para transferir dinheiro ou revelar informações confidenciais. Isso dificultou muito a detecção de fraudes, e as organizações estão tendo cada vez mais dificuldades de se proteger contra esses ataques.
Os grupos de ransomware não estão apenas contando com meios técnicos para pressionar as vítimas a pagar resgates — eles também estão manipulando regulamentações legais a seu favor. Um dos desenvolvimentos mais impressionantes em 2024 foi a transformação das regras de divulgação em armas, especificamente aquelas emitidas pela Securities and Exchange Commission (SEC) dos EUA.
Um caso recente de alta visibilidade envolveu o grupo de ransomware BlackCat/ALPHV, que registrou uma reclamação formal à SEC contra um provedor de serviços de empréstimo digital. Depois de exfiltrar os arquivos da empresa, o grupo teria relatado à SEC que o provedor não cumpriu os regulamentos que exigem que as organizações divulguem qualquer incidente de cibersegurança dentro de quatro dias úteis. Essa tática "legal" adicionada foi projetada para pressionar as vítimas a pagar o resgate para evitar penalidades financeiras ou danos à reputação.
Esse incidente perturbador mostra que os grupos de ransomware usam qualquer coisa, até mesmo o governo, como vantagem. "Os agentes da ameaça estão usando os regulamentos para pressionar mais as vítimas. Essa é uma tendência bastante interessante", disse Ifigeneia Lella, especialista em cibersegurança da European Union Agency for Cybersecurity (ENISA). É um lembrete assustador de que frameworks legais, embora destinadas a proteger o público e promover transparência, podem ser manipuladas por agentes mal-intencionados para promover suas próprias agendas maliciosas.
De acordo com o relatório ENISA Threat Landscape 2024, o ano passado viu o uso crescente de técnicas de "vivendo fora da terra" (LOTL) por cibercriminosos. Os ataques de LOTL envolvem o uso de ferramentas e software que já existem no sistema de uma vítima, dificultando a detecção de atividades maliciosas pelas equipes de segurança. Em vez de depender de malware externo que pode ser sinalizado por software antivírus, os invasores Aproveite ferramentas administrativas legítimas, como o PowerShell ou o Windows Management Instrumentation (WMI), para executar seus ataques.
Por exemplo, PLAY, um grupo de ransomware de várias extorsões, geralmente usa ferramentas prontas para uso, como Cobalt Strike, Empire e Mimikatz, para descoberta e movimento lateral dentro da rede de um alvo. Ao evitar a introdução de software novo e suspeito, os invasores podem evitar a detecção por períodos mais longos, muitas vezes até que seja tarde demais para a vítima responder de forma eficaz. Essa mudança para técnicas LOTL representa um desafio contínuo para os profissionais de cibersegurança, pois as soluções antivírus tradicionais estão se tornando menos eficazes contra esses ataques sutis.
Além dos avanços tecnológicos, o ransomware está sendo cada vez mais usado como uma arma de influência geopolítica e hacktivismo. Os cibercriminosos não são mais motivados apenas por ganhos financeiros; Alguns estão usando malware para promover agendas políticas, desestabilizar governos ou criar caos em certas regiões.
O relatório da ENISA enfatizou como as pressões geopolíticas estão convergindo com os ataques de ransomware. Por exemplo, durante o conflito Rússia-Ucrânia, grupos de ransomware visaram infraestruturas críticas na Ucrânia e em outros países críticos aliados da Ucrânia. Esses ataques não foram necessariamente motivados financeiramente, mas sim politicamente. O objetivo era interromper as operações nacionais ou paralisar setores-chave como energia, saúde e transporte.
Grupos de hacktivistas também estão unindo forças com gangues de ransomware para promover seus próprios objetivos ideológicos. Por exemplo, os ataques aos setores de administração pública e transporte aumentaram, muitas vezes ligados a eventos políticos específicos ou movimentos globais. À medida que o crime cibernético se torna mais politizado, as organizações e os governos devem reconhecer que o ransomware não é mais apenas uma ameaça financeira, mas também uma ferramenta de disrupção no cenário global. E dado o aumento das pressões geopolíticas em todo o mundo, esses tipos de ataques são cada vez mais comuns.
Apesar dos esforços globais para conter o ransomware, o número de ataques de ransomware continua aumentando. De acordo com o Ransomware Tracker, o número de vítimas postadas em sites de extorsão aumentou em maio de 2024 para 450, em comparação com 328 em abril, tornando-o um dos meses mais ativos dos últimos anos.
Setores como saúde, administração pública, transporte e finanças estão entre os mais visados. Esses setores são particularmente vulneráveis devido à sua dependência da infraestrutura digital e às graves consequências do downtime operacional. Por exemplo, o U.S. Department of Health and Human Services relatou um aumento de 256% nas violações relacionadas a hackers no setor de saúde nos últimos cinco anos, ressaltando a vulnerabilidade aumentada do setor.
O impacto financeiro do ransomware continua crescendo em 2024, com custos que vão além dos pagamentos de resgates. De acordo com um relatório do setor, o custo médio de recuperação para vítimas de ransomware nos governos estaduais e locais é de US$ 2,73 milhões, mais do que o dobro do valor relatado em 2023. Esses custos incluem não somente pagamentos de resgates, mas também despesas relacionadas a downtime, perda de dados, interrupção operacional e danos à reputação.
As próprias exigências de resgate também estão aumentando vertiginosamente. O relatório afirma que a exigência média de resgate para os governos estaduais e locais é agora de USD 3,3 milhões, com algumas exigências superiores a USD 5 milhões. Globalmente, setores como saúde, energia e educação estão observando tendências semelhantes. Pior ainda, as altas exigências de resgate e os custos significativos de recuperação podem paralisar ou até mesmo derrubar organizações menores.
O cenário do ransomware em 2024 é de crescente complexidade. Com campanhas de phishing orientado por IA, técnicas de sobrevivência, a invasão de frameworks legais e a fusão de pressões geopolíticas, os riscos nunca foram tão altos. No entanto, os avanços nas ferramentas de cibersegurança com IA e uma crescente consciência dessas táticas em evolução oferecem caminhos para aprimorar as defesas.
À medida que os cibercriminosos se adaptam e inovam, as organizações e os profissionais de cibersegurança também devem se adaptar. Medidas proativas, como o gerenciamento de vulnerabilidades, empregando estratégias de backup robustas e investindo em recursos de resposta a incidentes, são essenciais para combater essa ameaça sempre presente. O ransomware continua evoluindo, mas as ferramentas e estratégias usadas para combatê-lo também podem.