Ataques de ransomware duplicam em 2022

 Ataques de ransomware duplicam em 2022

Durante os primeiros dez meses de 2022, a proporção de utilizadores atacados por ataque de ransomware quase que duplicou em comparação com o mesmo período de 2021. Um crescimento tão impressionante indica que os grupos de criminosos de ransomware têm continuado a aperfeiçoar as suas técnicas - tanto os mais famosos como os que acabam de entrar em cena. Seguindo os desenvolvimentos no mundo do resgate, o último relatório crimineware de 2022 da Kaspersky revela novas características introduzidas pelo famoso grupo "LockBit", e um recém-chegado, "Play", que emprega técnicas de auto-propagação.

De acordo com as soluções de segurança da Kaspersky, a percentagem de utilizadores afetados por ataques de ransomware direcionados, representou 0,026% de todos os utilizadores atacados em 2022 - contra 0,016% em 2021. Estes números mostram que os cibercriminosos estão a mudar constantemente de ataques oportunistas para ataques de ransomware precisamente adaptados para atingirem os seus objetivos.  

Proporção de utilizadores afetados por ransomware específicos, por mês, Janeiro - Outubro 2022

Como demonstram as recentes investigações da Kaspersky, os grupos de ransomware continuam a melhorar as suas técnicas. Uma delas, o “Lockbit”, continua a ser uma das variantes de ransomware mais populares, inovadoras e em rápido desenvolvimento que são atualmente utilizadas. E este grupo ainda pode continuar a emboscar especialistas em cibersegurança, acrescentando novas opções - e a prática do dumping de credenciais. Esta técnica significa que o ator pode assumir o domínio da máquina infetada e criar um canal nomeado para repor as credenciais do sistema operativo.

Ainda assim, há novas variantes de resgates que continuam a surgir. No decurso de 2022, a Kaspersky detetou mais de 21 400 estirpes de ransomware.

Número de novas modificações de ransomware, por mês, Janeiro - Outubro 2022

A mais recente descoberta de Kaspersky é o "Play", uma nova variante de ransomware altamente dissimulada que torna a análise mais complexa. O seu código não tem qualquer semelhança com outras amostras de ransomware - mas felizmente o "Play" está em fases iniciais do seu desenvolvimento. Quando a investigação foi conduzida, a localização da fuga não pôde ser detetada e as vítimas foram obrigadas a contactar os criminosos através de um endereço de correio eletrónico deixado na nota de resgate. O que chamou a atenção dos investigadores foi que o Play contém uma funcionalidade que foi recentemente encontrada noutras variantes avançadas do serviço de resgate: auto-propagação. Primeiro, os atacantes encontram um bloco de mensagens de servidor (SMB) e estabelecem uma ligação. Em seguida, o Play tenta montar o SMB acima mencionado e distribuir e executar o serviço de ransomware no sistema à distância.

"Os programadores de Ransomware acompanham de perto o trabalho dos concorrentes. Se alguém implementar com sucesso uma determinada funcionalidade, há uma grande probabilidade de que outros também o façam. Isto torna o seu "ransomware" mais interessante para os seus afiliados. A auto-propagação de ransomware é um exemplo claro disso mesmo. Cada vez mais grupos de resgates assumem técnicas inventivas que tornam os ataques de ransomware ainda mais direcionados e destrutivos - e as estatísticas deste ano provam-no. Outra coisa que nunca deixaremos de lembrar ao público, é a necessidade de fazer backups regulares e armazená-los offline", comenta Jornt van der Wiel, security expert na Kaspersky.

Saiba mais sobre o mais recente relatório da Kaspersky sobre crimeware na Securelist.

• Para se proteger e ao seu negócio de ataques de ransomware, considere seguir as normas sugeridas pela Kaspersky:
• Não exponha serviços de desktop remoto (como o RDP) a redes públicas, a menos que seja absolutamente necessário e utilize sempre senhas fortes para eles.
• Instale rapidamente os patches disponíveis para soluções VPN comerciais, fornecendo acesso aos empregados remotos e atuando como gateways na sua rede.
• Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.
• Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos dados em caso de emergência, quando necessário. 
• Utilize soluções como o Kaspersky Endpoint Detection and Response Expert e o serviço Kaspersky Managed Detection and Response que ajudam a identificar e parar o ataque nas fases iniciais, antes de os atacantes atingirem os seus objectivos finais.
• Utilizar as informações mais recentes da Threat Intelligence para se manterem a par dos TTPs reais utilizados pelos agentes da ameaça. O Kaspersky Threat Intelligence Portal é um ponto de acesso único para a TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela nossa equipa durante 25 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo. Solicite aqui o acesso a esta oferta.