Relatório revela declínio nos pagamentos de ransomware

Um relatório publicado pela Chainalysis, um fornecedor de uma plataforma para análise de transações em blockchain utilizada por várias criptomoedas, conclui que, embora tenha havido um aumento de ataques de ransomware em 2023, o número de ataques que resultaram em pagamentos diminuiu 46% de um ano para o outro.

A razão pela qual foram feitos menos pagamentos em 2023 inclui desde uma menor disposição para ceder a chantagens e resiliência cibernética aumentadapossibilitada pela melhoria da proteção de dados até à derrubada de algumas das principais plataformas utilizadas para lançar estes ataques.

Por exemplo, o Departamento de Justiça dos EUA (DOJ) no ano passado desmantelou uma botnet Qakbot que sindicatos de cibercriminosos como Conti, Black Basta e Revil estavam a usar para lançar ataques de ransomware. Esse esforço também levou à recuperação de milhões de dólares em criptomoeda que tinham sido extorquidos de várias organizações.

No final de 2023, o DOJ anunciou também a interrupção do BlackCat, um sindicato cibercriminoso ligado a mais de 30% de todos os pagamentos de ransomware. O DOJ conseguiu passar 300 chaves de desencriptação para as vítimas, o que levou à recuperação de aproximadamente 68 milhões de dólares em pagamentos.

No entanto, a BlackCat conseguiu reconstituir-se e, em março deste ano, foi ligada a um pagamento de resgate de 22 milhões de dólares feito pela unidade Change Healthcare da UnitedHealth. Após o alegado pagamento, a BlackCat exibiu um aviso de apreensão policial no seu site na darknet para sugerir que as suas operações tinham sido forçadamente terminadas. Isto foi desmascarado como um estratagema para permitir que alguns membros ficassem com o pagamento de vários milhões de dólares sem dar aos seus afiliados a parte que lhes era devida.

Entretanto, a National Crime Agency (NCA), em colaboração com agências de aplicação da lei multinacionais, apreendeu o controlo dos sites LockBit na dark web juntamente com a sua infraestrutura de hacking. A operação também resultou na confiscação do seu código-fonte e contas de criptomoeda. Além disso, a NCA também recuperou mais de 1000 chaves de desencriptação para ajudar as vítimas a recuperar dados encriptados.

De acordo com o FBI, o LockBit foi associado a mais de 2.000 ataques e recebeu pelo menos 120 milhões de dólares em pagamentos de resgate de janeiro de 2020 a maio de 2023, aproximadamente 15% de todos os pagamentos de ransomware. Com a ajuda da Chainalysis, a NCA identificou e analisou centenas de carteiras ativas e identificou 2.200 Bitcoin — no valor de quase 110 milhões de dólares — em receitas de ransomware LockBit não gastas e ainda por lavar.

Os perpetradores do ataque LockBit, no entanto, também disseram que estão a planear um regresso, por isso ninguém na cibersegurança deve estar tranquilo. As tácticas e técnicas de ransomware continuarão, sem dúvida, a evoluir, especialmente à medida que os cibercriminosos se tornam mais hábeis no uso de inteligência artificial (IA) para elaborar ataques de phishing que serão mais difíceis de detectar do que nunca. A única maneira de frustrar esses ataques é garantir um nível de ciber-resiliência que seja continuamente mantido. Claro, no centro de qualquer estratégia de ciber-resiliência está o software de backup e recuperação que deve permitir às organizações recuperar cópias intactas dos dados em poucas horas, no máximo.

O ransomware, de uma forma ou de outra, estará sempre connosco. O desafio e a oportunidade agora é contê-lo ao ponto de não ser uma atividade tão lucrativa como tem sido até agora.