A Microsoft actualizou esta semana o Cyber Signals, a segunda edição do seu relatório de cibersegurança, onde faz uma análise às principais tendências dos ciberataques com especial foco no ransomware, que este ano já custou muitos milhões ao tecido empresarial e a governos em todo o mundo, entre pagamentos de resgates, danos reputacionais e falhas de serviço.
Este ano já foram registados mais de 43 mil milhões de alertas de segurança.
Nesta edição, o foco está na evolução da economia do cibercrime e na ascensão do Ransomware-as-a-Service (RaaS), essencialmente usado para extorquir pagamentos das vítima. A maioria dos programas RaaS atuais também procura expor dados roubados e é conhecido como dupla extorsão. Os dois grupos focados na extorsão são o DEV-0537 (também conhecido por LAPSUS$) e o DEV-0390 (um antigo Conti afiliado).
A intrusão do grupo DEV-0390 é iniciada através de malware, mas os atacantes socorrem-se de ferramentas legítimas para filtrar dados e extorquir pagamentos a troco dos dados roubados. O grupo DEV-0537 utiliza uma estratégia muito diferente e mais “artesanal”. O acesso inicial é obtido através da compra de credenciais a partir de locais ilegais ou de colaboradores em organizações-alvo.
As empresas estão a experienciar um aumento tanto no volume como na sofisticação dos ciberataques. A Agência Europeia para a Segurança Cibernética (ENISA) informa que, entre maio de 2021 e junho de 2022, cerca de 10 terabytes de dados foram roubados todos os meses por ameaças de ransomware. 58,2% desses ficheiros roubados são dados pessoais dos colaboradores.
MAIS: Relatório aponta crescimento de malware em aplicativos nos Androids
Como explica o relatório, a estratégia inicial passa por comprar senhas de acesso aos sistemas alvo no mercado negro. Estas senhas são legítimas e pertencem a funcionários da empresa, que já tinham sido vítimas de ataques anteriores. O grupo privilegia ataques a empresas de telecomunicações ou serviços TI, por saber que estas empresas podem ser uma porta de entrada para outras, suas parceiras e com sistemas ligados aos do primeiro alvo.
O Cyber Signals também regista que, nos últimos tempos, a desativação de alguns programas de grande relevo nesta área do ransomware, como o Conti, abalaram o ecossistema, que se foi reajustando. Muitos afiliados do Ransomware Conti mudaram-se para o LockBit ou Hive, outros passaram a usar vários kits em simultâneo. Além disso, surgiram novos programas que têm vindo a ocupar o espaço deixado vago pelo Conti, como o QuantumLocker e o Black Basta.
