{"id":21345,"date":"2023-06-08T18:05:29","date_gmt":"2023-06-08T18:05:29","guid":{"rendered":"https:\/\/blog.lacnic.net\/?p=21345"},"modified":"2024-01-03T15:17:27","modified_gmt":"2024-01-03T15:17:27","slug":"licoes-que-aprendemos-dos-mais-de-100-casos-de-ransomware","status":"publish","type":"post","link":"https:\/\/blog.lacnic.net\/pt-br\/licoes-que-aprendemos-dos-mais-de-100-casos-de-ransomware\/","title":{"rendered":"Li\u00e7\u00f5es que aprendemos dos mais de 100 casos de ransomware"},"content":{"rendered":"\n

Por Imelda Flores<\/a> – Head of SCILabs, Scitum<\/p>\n\n\n\n

Os pa\u00edses da Am\u00e9rica Latina e do Caribe s\u00e3o o laborat\u00f3rio perfeito para os golpistas de ransomware, sinalizou Imelda Flores durante sua apresenta\u00e7\u00e3o no LACNIC 39.  Isso acontece porque a regi\u00e3o possui muitos equipamentos legados ou velhos, o que a torna um alvo perfeito para os golpes, pois os hackers sabem que caso haja um ataque, n\u00e3o haver\u00e1 uma resposta contundente. A fragilidade da regi\u00e3o neste aspecto tornou-a objeto de t\u00e9cnicas de ataques testadas por primeira vez no mundo, para fazer com que os golpes de rasomware sejam mais nocivos, informou Flores.<\/p>\n\n\n\n

Imelda Flores comanda a equipe de SCILabs em Scitum-Telmex, que atende de forma global incidentes de seguran\u00e7a, automatiza opera\u00e7\u00f5es de seguran\u00e7a complexas, realiza tarefas de ciberintelig\u00eancia e coordena as investiga\u00e7\u00f5es sobre malware avan\u00e7ado, bem como campanhas que atingem a regi\u00e3o.<\/p>\n\n\n\n

Durante o F\u00f3rum T\u00e9cnico do LACNIC, a especialista falou sobre mais de 100 incidentes de ransomware respondidos pela equipe SCILabs na Am\u00e9rica Latina.<\/p>\n\n\n\n

A CEREJA DO BOLO.<\/strong>  A especialista em seguran\u00e7a alertou que os golpistas de ransomware adoram o uso de contas v\u00e1lidas para acessar organiza\u00e7\u00f5es, sejam elas utilizadas em escrit\u00f3rios remotos expostos \u00e0 Internet, em VPNs sem MFA (M\u00faltiplo fator de autentica\u00e7\u00e3o) ou naqueles Citrix que n\u00e3o estejam detr\u00e1s de um Firewall, por\u00e9m em outras ocasi\u00f5es abusam de dispositivos vulner\u00e1veis na Internet. Uma vez no interior da organiza\u00e7\u00e3o, os atacantes buscam escalar privil\u00e9gios e chegar \u00e0 diretoria ativa \u201cque hoje \u00e9 a cereja do bolo das organiza\u00e7\u00f5es\u201d, apontou Flores. Os atacantes descobriram que \u00e9 o ponto neur\u00e1lgico de toda organiza\u00e7\u00e3o e, no momento em que a diretoria ativa cair, praticamente cair\u00e1 qualquer opera\u00e7\u00e3o.  \u201cDa\u00ed podem se deslocar para o storage, para a base de dados, para outras diretorias ativas ou para onde quiserem\u201d, relatou. Ao chegar a uma base de dados ou a um lugar onde costumam extrair informa\u00e7\u00e3o, posteriormente cifram todos os dispositivos cr\u00edticos da organiza\u00e7\u00e3o. Perante isso s\u00e3o muitas as organiza\u00e7\u00f5es que pagam, mas n\u00e3o para recuperar a chave do cifrado, sen\u00e3o para que a informa\u00e7\u00e3o roubada n\u00e3o se torne p\u00fablica.<\/p>\n\n\n\n

EM SIMULT\u00c2NEO.  <\/strong>\u201cDetectamos queo tempo transcorridodesde que os golpistas entram a um sistema e executam um ataque de ransomware \u00e9 entre uma e duas semanas\u201d, apontou Flores. Pode haver um golpista interessado em ransomware em uma organiza\u00e7\u00e3o e ao mesmo tempo existir amea\u00e7as. H\u00e1 ocasi\u00f5es em que nos deparamos com dois ou tr\u00eas tipos de atacantes no mesmo lugar, no mesmo servidor e ao mesmo tempo, por\u00e9m, com objetivos diferentes\u201d, acrescentou.<\/p>\n\n\n\n

Ao lan\u00e7ar o ramsonware os atacantes procuram fazer uma limpeza simult\u00e2nea. Por qu\u00ea? Para atrapalhar o trabalho de quem se dedicar a investigar este tipo de golpe. Achar o artefato que realizou o cifrado \u00e9 muito importante para entender como ocorre o ataque, a partir de onde o ransomware \u00e9 distribu\u00eddo e quais outros dispositivos est\u00e3o comprometidos.<\/p>\n\n\n\n

PA\u00cdSES ATINGIDOS.<\/strong> Segundo dados do relat\u00f3rio publicado por SCILabs de Scitum-Telmex, o Brasil, o M\u00e9xico e a Argentina lideraram o ranking de ataques com ransomware durante o \u00faltimo semestre de 2022.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Em rela\u00e7\u00e3o ao tipo de ransomware utilizado pelos golpistas na regi\u00e3o, o estudo detectou v\u00e1rias fam\u00edlias muito ativas: Lockbit 3.0 (50% dos ataques), Blackbit (7%) e Blackcat (7%).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Flores admitiu que v\u00e1rias fam\u00edlias de ransomware disputaram o territ\u00f3rio abrangido pelo LACNIC. Comentou tamb\u00e9m que existem at\u00e9 os que desenvolvem manuais de como entrar a uma organiza\u00e7\u00e3o e outros que podem trabalhar com dois ou mais ransomware ao mesmo tempo, estes \u00faltimos s\u00e3o chamados de afiliados. Acrescentou: \u201c\u00c9 muito prov\u00e1vel que 25% do pagamento obtido pelo resgate v\u00e1 para o desenvolvedor e 75% para quem executou o golpe\u201d.<\/p>\n\n\n\n

N\u00c3O \u00c9 POR DIVERS\u00c3O.<\/strong> A ind\u00fastria de servidores, os governos, o setor financeiro, a hotelaria e muita ind\u00fastria de manufatura s\u00e3o as organiza\u00e7\u00f5es prediletas dos golpistas de ransomware, conforme observou SCILabs em Scitum-TELMEX (ver gr\u00e1fico). O ransomware vai para onde puder causar suficiente dano com o intuito de que a organiza\u00e7\u00e3o pague o resgate. \u201cN\u00e3o atacam por divers\u00e3o\u201d, destacou Flores.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

LI\u00c7\u00d5ES APRENDIDAS.<\/strong> Flores detalhou uma s\u00e9rie de li\u00e7\u00f5es aprendidas na trilha contra os golpistas.<\/p>\n\n\n\n

    \n
  1. Em primeiro lugar sinalizou que a rea\u00e7\u00e3o inicial n\u00e3o deve ser tratar o evento como um Sprint. \u00c9 uma maratona. S\u00f3 a investiga\u00e7\u00e3o dura entre quatro e seis semanas. A recupera\u00e7\u00e3o levar\u00e1 v\u00e1rios dias, semanas e at\u00e9 mesmo meses. Por isso aconselhamos a enviar uma parte do pessoal para descansar, j\u00e1 que a recupera\u00e7\u00e3o ser\u00e1 longa. N\u00e3o vamos obter resposta de como ocorreu o ataque em dois dias, afirmou a especialista.<\/li>\n<\/ol>\n\n\n\n
      \n
    • Em segundo lugar afirmou que as organiza\u00e7\u00f5es n\u00e3o priorizam a investiga\u00e7\u00e3o da origem do ataque. <\/strong>H\u00e1 v\u00e1rios caminhos na hora de enfrentar um ransomware. Um tem a ver com a investiga\u00e7\u00e3o e nesse caso o caminho \u00e9 achar os artefatos maliciosos que dar\u00e3o ideia de como o golpista agiu. Outro caminho \u00e9 a recupera\u00e7\u00e3o, que pode levar dias ou at\u00e9 mesmo meses.<\/li>\n<\/ul>\n\n\n\n
        \n
      • Um terceiro ponto importante \u00e9 a comunica\u00e7\u00e3o<\/strong>. Flores afirmou que na Am\u00e9rica Latina as organiza\u00e7\u00f5es atingidas agem como se nada tivesse acontecido, no entanto, ele acredita que deveriam agir de forma contr\u00e1ria e que a transpar\u00eancia perante os empregados e fora das organiza\u00e7\u00f5es \u00e9 muito importante. \u201cUm dos clientes que atendemos nos pediu de forma espec\u00edfica um documento que explicasse o vetor do ataque do qual foi v\u00edtima, os indicadores de compromisso e orienta\u00e7\u00f5es a respeito. Aproximou-se aos clientes mais importantes e explicou-lhes que estava comprometido e mostrou como tudo tinha acontecido. Com isso ganhou mais neg\u00f3cios, por conta da confian\u00e7a\u201d, exemplificou.<\/li>\n<\/ul>\n\n\n\n

        Sempre h\u00e1 vazamento de informa\u00e7\u00e3o, mesmo n\u00e3o havendo evid\u00eancia. A experi\u00eancia em todos os casos de ransomware estudados pela equipe SCILabs \u00e9 que o golpista extrai informa\u00e7\u00e3o. \u201cEmbora n\u00e3o haja evid\u00eancia, \u00e9 bem prov\u00e1vel que tenha havido exfiltra\u00e7\u00e3o.  Os ataques mais destrutivos acontecem nos finais de semana e nos dias festivos, quando as organiza\u00e7\u00f5es est\u00e3o mais vulner\u00e1veis.<\/p>\n\n\n\n

        Enfatizou que a prepara\u00e7\u00e3o <\/strong>\u00e9 fundamental e com isso \u00e9 prov\u00e1vel minimizar o risco. \u00a0\u201cN\u00e3o quer dizer que nunca vai acontecer, mas praticar o que deve ser feito durante um caso de ransomware pode ajudar a estarmos melhor preparados para uma situa\u00e7\u00e3o deste tipo\u201d, concluiu.<\/p>\n\n\n\n

        \n