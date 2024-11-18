Todas as boas notícias são bem-vindas ao avaliar as tendências dos crimes cibernéticos ano a ano. Nos últimos dois anos, os Relatórios de Índice de Ameaças da IBM proporcionaram um pequeno alívio nessa área, mostrando um declínio gradual na prevalência de ataques de ransomware, representando agora apenas 17% de todos os incidentes de cibersegurança, em comparação com 21% em 2021.
Infelizmente, é cedo demais para saber se essa linha de tendência continuará. Um relatório recente divulgado pela Searchlight Cyber mostra que houve um aumento de 56% em grupos de ransomware ativos no primeiro semestre de 2024, fornecendo evidências convincentes de que a luta contra o ransomware está longe de terminar.
Searchlight Cyber é uma empresa de inteligência da dark web que fornece ferramentas de monitoramento e plataformas usadas por agências de aplicação da lei, empresas e MSSPs para ajudar a identificar, rastrear e prevenir ameaças cibernéticas contínuas.
A empresa lançou recentemente um relatório de meio do ano intitulado "Ransomware no primeiro semestre de 2024: tendências da Dark Web" que lançou um pouco mais de luz sobre o estado atual do ransomware, focando especificamente na atividade dos grupos de ransomware mais prolíficos.
Neste relatório, as estatísticas coletadas pela Searchlight Cyber mostram que 73 grupos ativos de ransomware estão sendo rastreados na dark web em meados de 2024, em comparação com 46 grupos no ano passado, representando um aumento de 56%.
Algumas outras conclusões principais do relatório incluíram:
Lucas Donovan, Diretor de Inteligência de Ameaças da Searchlight Cyber, foi entrevistado recentemente para reunir uma perspectiva adicional sobre as descobertas deste relatório. Comentando sobre o relatório de métricas da Searchlight Cyber, Donovan esclarece:
"Nossos números de vítimas de ransomware são em grande parte determinadas pelas organizações que os grupos de ransomware listam em seus sites de vazamento da dark web... Existem algumas limitações nesses números, pois grupos de ransomware podem ter atacado muitas outras organizações, mas decidiram não listar a vítima publicamente.
"Por outro lado, sempre há a possibilidade de que os grupos de ransomware estejam listando organizações que eles não atacaram de fato para melhorar sua reputação. No entanto, esses números dão uma boa indicação dos grupos de ransomware mais ativos que operam na dark web."
Os modelos RaaS estão em uso há vários anos. No entanto, à medida que mais grupos de ransomware vêm à tona e as soluções de RaaS se tornam mais prontamente disponíveis, espera-se que os perigos associados só aumentem.
Quando perguntado sobre por que o modelo RaaS se tornou tão bem-sucedido nos últimos anos, Donovan comentou: "O sucesso do modelo RaaS está realmente na sua capacidade para escalar. Se o operador do ransomware também for o mesmo indivíduo que realiza os ataques, há um limite natural no número de vítimas que ele pode fazer em um determinado momento. A terceirização do ataque em si para uma série de "afiliados" (algumas das maiores gangues têm dezenas) permite que as gangues de ransomware aumentem enormemente a quantidade de organizações que podem solicitar o resgate."
À primeira vista, pode parecer que alguns operadores de RaaS estão procurando um certo nível de isolamento de ramificações legais, transferindo a responsabilidade para os afiliados responsáveis pela realização dos ataques. No entanto, muitos países possuem leis que responsabilizam tanto os operadores de RaaS quanto suas afiliadas igualmente responsáveis pela organização e execução de ciberataques.
“A popularidade do modelo RaaS está mais relacionada à lucratividade do que à mudança de responsabilidade legal. No mínimo, executar uma operação de RaaS aumenta o risco para os criadores do ransomware, pois essas gangues normalmente têm mais vítimas, o que as torna um alvo maior para a aplicação da lei", afirma Donovan.
Considerando as implicações de fornecer toolkits de RaaS a afiliados não treinados ou indisciplinados, o uso contínuo desse modelo é surpreendente, pois pode chamar a atenção indesejada para as próprias gangues. Isso ficou evidente na recente interrupção das operações da LockBit pela National Crime Agency (NCA) em fevereiro de 2024.
Ainda assim, os ganhos financeiros da expansão das atividades criminosas em grande escala são riscos que muitos grupos de ransomware já provaram que estão dispostos a correr.
Conforme mencionado recentemente, já houve relatórios anteriores de que o número de vítimas de ransomware diminuiu nos últimos anos. Então, o aumento de grupos de ransomware deve ser algo com que as empresas devem se preocupar? Sim e não.
As recentes interrupções em grandes gangues de RaaS, como LockBit e BlackCat, definitivamente contribuíram para a recente diminuição nos ataques de ransomware. Outro fator em potencial pode ser atribuído à falta geral de escassez de habilidades em campos relacionados à cibernética que afetam tanto a cibersegurança quanto os grupos de crime cibernético. No entanto, isso não significa que um ressurgimento de ataques de ransomware não esteja no horizonte.
"O que observamos agora é um ecossistema de ransomware mais fragmentado... Quando grandes grupos de RaaS são interrompidos, normalmente vemos vários grupos de imitadores menores surgindo", afirma Donovan.
Como o relatório da Searchlight Cyber destaca, muitos novos grupos de ransomware estão usando métodos de ataque altamente sofisticados e estão cada vez mais motivados a deter uma Compartilhe do mercado de RaaS. Essa é uma combinação perigosa, o que significa que as empresas devem permanecer vigilantes enquanto avaliam continuamente suas estratégias defensivas para minimizar sua exposição ao ransomware.