Lições que aprendemos dos mais de 100 casos de ransomware

08/06/2023

Por Imelda Flores – Head of SCILabs, Scitum

Os países da América Latina e do Caribe são o laboratório perfeito para os golpistas de ransomware, sinalizou Imelda Flores durante sua apresentação no LACNIC 39.  Isso acontece porque a região possui muitos equipamentos legados ou velhos, o que a torna um alvo perfeito para os golpes, pois os hackers sabem que caso haja um ataque, não haverá uma resposta contundente. A fragilidade da região neste aspecto tornou-a objeto de técnicas de ataques testadas por primeira vez no mundo, para fazer com que os golpes de rasomware sejam mais nocivos, informou Flores.

Imelda Flores comanda a equipe de SCILabs em Scitum-Telmex, que atende de forma global incidentes de segurança, automatiza operações de segurança complexas, realiza tarefas de ciberinteligência e coordena as investigações sobre malware avançado, bem como campanhas que atingem a região.

Durante o Fórum Técnico do LACNIC, a especialista falou sobre mais de 100 incidentes de ransomware respondidos pela equipe SCILabs na América Latina.

A CEREJA DO BOLO.  A especialista em segurança alertou que os golpistas de ransomware adoram o uso de contas válidas para acessar organizações, sejam elas utilizadas em escritórios remotos expostos à Internet, em VPNs sem MFA (Múltiplo fator de autenticação) ou naqueles Citrix que não estejam detrás de um Firewall, porém em outras ocasiões abusam de dispositivos vulneráveis na Internet. Uma vez no interior da organização, os atacantes buscam escalar privilégios e chegar à diretoria ativa “que hoje é a cereja do bolo das organizações”, apontou Flores. Os atacantes descobriram que é o ponto neurálgico de toda organização e, no momento em que a diretoria ativa cair, praticamente cairá qualquer operação.  “Daí podem se deslocar para o storage, para a base de dados, para outras diretorias ativas ou para onde quiserem”, relatou. Ao chegar a uma base de dados ou a um lugar onde costumam extrair informação, posteriormente cifram todos os dispositivos críticos da organização. Perante isso são muitas as organizações que pagam, mas não para recuperar a chave do cifrado, senão para que a informação roubada não se torne pública.

EM SIMULTÂNEO.  “Detectamos queo tempo transcorridodesde que os golpistas entram a um sistema e executam um ataque de ransomware é entre uma e duas semanas”, apontou Flores. Pode haver um golpista interessado em ransomware em uma organização e ao mesmo tempo existir ameaças. Há ocasiões em que nos deparamos com dois ou três tipos de atacantes no mesmo lugar, no mesmo servidor e ao mesmo tempo, porém, com objetivos diferentes”, acrescentou.

Ao lançar o ramsonware os atacantes procuram fazer uma limpeza simultânea. Por quê? Para atrapalhar o trabalho de quem se dedicar a investigar este tipo de golpe. Achar o artefato que realizou o cifrado é muito importante para entender como ocorre o ataque, a partir de onde o ransomware é distribuído e quais outros dispositivos estão comprometidos.

PAÍSES ATINGIDOS. Segundo dados do relatório publicado por SCILabs de Scitum-Telmex, o Brasil, o México e a Argentina lideraram o ranking de ataques com ransomware durante o último semestre de 2022.

Em relação ao tipo de ransomware utilizado pelos golpistas na região, o estudo detectou várias famílias muito ativas: Lockbit 3.0 (50% dos ataques), Blackbit (7%) e Blackcat (7%).

Flores admitiu que várias famílias de ransomware disputaram o território abrangido pelo LACNIC. Comentou também que existem até os que desenvolvem manuais de como entrar a uma organização e outros que podem trabalhar com dois ou mais ransomware ao mesmo tempo, estes últimos são chamados de afiliados. Acrescentou: “É muito provável que 25% do pagamento obtido pelo resgate vá para o desenvolvedor e 75% para quem executou o golpe”.

NÃO É POR DIVERSÃO. A indústria de servidores, os governos, o setor financeiro, a hotelaria e muita indústria de manufatura são as organizações prediletas dos golpistas de ransomware, conforme observou SCILabs em Scitum-TELMEX (ver gráfico). O ransomware vai para onde puder causar suficiente dano com o intuito de que a organização pague o resgate. “Não atacam por diversão”, destacou Flores.

LIÇÕES APRENDIDAS. Flores detalhou uma série de lições aprendidas na trilha contra os golpistas.

1. Em primeiro lugar sinalizou que a reação inicial não deve ser tratar o evento como um Sprint. É uma maratona. Só a investigação dura entre quatro e seis semanas. A recuperação levará vários dias, semanas e até mesmo meses. Por isso aconselhamos a enviar uma parte do pessoal para descansar, já que a recuperação será longa. Não vamos obter resposta de como ocorreu o ataque em dois dias, afirmou a especialista.

• Em segundo lugar afirmou que as organizações não priorizam a investigação da origem do ataque. Há vários caminhos na hora de enfrentar um ransomware. Um tem a ver com a investigação e nesse caso o caminho é achar os artefatos maliciosos que darão ideia de como o golpista agiu. Outro caminho é a recuperação, que pode levar dias ou até mesmo meses.

• Um terceiro ponto importante é a comunicação. Flores afirmou que na América Latina as organizações atingidas agem como se nada tivesse acontecido, no entanto, ele acredita que deveriam agir de forma contrária e que a transparência perante os empregados e fora das organizações é muito importante. “Um dos clientes que atendemos nos pediu de forma específica um documento que explicasse o vetor do ataque do qual foi vítima, os indicadores de compromisso e orientações a respeito. Aproximou-se aos clientes mais importantes e explicou-lhes que estava comprometido e mostrou como tudo tinha acontecido. Com isso ganhou mais negócios, por conta da confiança”, exemplificou.

Sempre há vazamento de informação, mesmo não havendo evidência. A experiência em todos os casos de ransomware estudados pela equipe SCILabs é que o golpista extrai informação. “Embora não haja evidência, é bem provável que tenha havido exfiltração.  Os ataques mais destrutivos acontecem nos finais de semana e nos dias festivos, quando as organizações estão mais vulneráveis.

Enfatizou que a preparação é fundamental e com isso é provável minimizar o risco.  “Não quer dizer que nunca vai acontecer, mas praticar o que deve ser feito durante um caso de ransomware pode ajudar a estarmos melhor preparados para uma situação deste tipo”, concluiu.