Barracuda full logo

Threat Spotlight: Como o ransomware alugado domina o panorama das ameaças

Tópicos:
21 ago. 2024
|
Adam Khan

A revisão anual deste ano dos ataques de ransomware analisa a ameaça de duas perspetivas.

  • Primeiro, pelo terceiro ano consecutivo, recolhemos uma amostra global de ataques de ransomware reportados e analisámos o que nos dizem sobre os atacantes de ransomware e os seus alvos nos últimos 12 meses e como se comparam com os anos anteriores.
  • Em segundo lugar, baseando-nos nas informações e dados mais recentes de Barracuda XDR, mergulhamos nos ataques de ransomware do mundo real, muitas vezes improvisados e oportunistas, que as organizações em todo o mundo enfrentam diariamente. Analisamos o que denuncia esses ataques e os impede de se desenvolverem. Também incluímos dois exemplos do mundo real do nosso livro de casos.

Esperamos que esta visão combinada ajude os profissionais de segurança de TI a compreender melhor o panorama em evolução do ransomware e como preparar-se para resistir a um ataque.

Análise anual de ataques de ransomware reportados 2023/24

Os nossos investigadores analisaram 200 incidentes relatados/publicados de agosto de 2023 a julho de 2024, em 37 países e envolvendo 36 grupos diferentes de ransomware. Incluímos incidentes em todos os setores industriais, com foco nas categorias principais que acompanhamos anualmente — municípios, saúde, educação, infraestrutura e serviços financeiros.

A amostra mostra que os ataques contra organizações de saúde continuam a aumentar. Um pouco mais de um em cada cinco ataques (21%) atingiram a saúde em 2023/24, em comparação com 18% no ano anterior. Alguns destes ataques foram manchetes mundiais, com operações adiadas e planos de tratamento a longo prazo interrompidos.

Os incidentes envolvendo educação reduziram-se para metade em relação aos 18% do ano passado, representando 9% dos ataques em 2023/24, enquanto aqueles contra os serviços financeiros aumentaram de menos de 1% para 6% em 2024.

Ataques de ransomware relatados por indústria focada 2023 a 2024
A proporção de ataques direcionados a outras indústrias aumentou, com 42% de todos os ataques atingindo setores fora do nosso grupo focado, em comparação com 32% no ano anterior. Em 2023/24, 9% dos ataques relatados foram contra o setor de manufatura e 13% tiveram como alvo empresas de tecnologia.
Contagem de ataques de ransomware por sector com base numa amostra de 200 incidentes

Estes resultados são um lembrete oportuno de que todas as organizações em todos os setores são um alvo potencial para ransomware.

Vale a pena notar que diferentes regulamentos em todo o mundo significam que algumas organizações ou indústrias têm a obrigação legal de reportar incidentes de cibersegurança, o que pode influenciar os resultados relacionados com a indústria.

Ransomware para aluguer

Os grupos de ransomware mais prevalentes na nossa amostra são, talvez sem surpresa, modelos de ransomware como serviço (RaaS). Estes incluem LockBit, que em 2023/24 esteve por detrás de um em cada seis, ou 18% dos ataques onde a identidade do atacante é conhecida, apesar da operação de aplicação da lei que desmantelou o grupo em fevereiro de 2024. Destes incidentes, 28% tiveram como alvo organizações de saúde, 21% municípios e 14% educação.

ALPHV ransomware, também conhecido como BlackCat, foi responsável por 14% dos ataques em 2023/24 onde a identidade do atacante é conhecida, com um terço destes incidentes a visar organizações de saúde, enquanto 17% atingiram serviços financeiros.

Rhysida, um novo grupo de ransomware que surgiu no início de 2023, foi responsável por 8% dos ataques nomeados, com 38% deles a atingir a saúde.

Os ataques de ransomware RaaS podem ser difíceis de prever e, portanto, de conter. O número e a gama de afiliados que implementam ataques da mesma família de ransomware podem levar a uma variação significativa nas táticas, técnicas e procedimentos (TTPs) observados.

Alguns afiliados podem usar diferentes tipos de ransomware em diferentes ataques, complicando ainda mais as coisas. Felizmente, existem TTPs testados e comprovados que a maioria dos atacantes confia, e estes podem ajudar a sinalizar um incidente em desenvolvimento.

A anatomia dos ataques de ransomware ativos

Dados da Barracuda XDR Endpoint Security sugerem que nos primeiros seis meses de 2024 (1 de janeiro até o final de junho), cerca de um em cada quatro (23%) clientes XDR enfrentaram uma tentativa de ataque de ransomware.

Nesse período, a Segurança de Endpoint do Barracuda XDR detetou e bloqueou 6.052 instâncias (ferramentas, técnicas ou comportamentos) que indicam um provável ataque de ransomware. As deteções mais prevalentes representam marcadores de navegação que as equipas de segurança podem procurar ao caçar intrusos.

Principais ferramentas e comportamentos de ataque detetados em 2024

Os analistas de segurança dependem de uma variedade de regras de deteção e motores para identificar atividades que indicam a presença de ciberameaças. Estas múltiplas camadas de deteção são essenciais na luta contra ameaças ativas, como o ransomware, onde os atacantes frequentemente utilizam ferramentas comercialmente disponíveis usadas legitimamente pelas equipas de TI e podem fazer ajustes em tempo real no seu comportamento e táticas para terem sucesso.

Além disso, a execução do componente de ransomware do ataque, como a encriptação de ficheiros, é muitas vezes a fase final do incidente. Isto é frequentemente precedido por varredura, movimento lateral, malware download, e mais, que oferecem às equipas de segurança várias oportunidades para detetar, conter e mitigar incidentes de ransomware antes que eles tenham a oportunidade de se desenrolar completamente.

Os dados de 2024 mostram que o movimento lateral é o sinal mais claro de atividade de ransomware. Quase metade (44%) dos ataques de ransomware foram detectados pelo motor de deteção de movimento lateral.

Um quarto (25%) foi detetado pelo motor que identifica quando ficheiros estão a ser escritos ou modificados e analisa-os para verificar se correspondem a assinaturas de ransomware conhecidas ou padrões suspeitos, e 14% foram detetados pelo motor de deteção que identifica comportamentos anormais dentro de um sistema ou rede. Este motor aprende o comportamento típico de utilizadores, processos e aplicações. Quando deteta desvios (como acesso a ficheiros invulgar, manipulação de componentes do sistema operativo ou atividade suspeita na rede), gera um alerta.

Formas mais comuns de deteção de ataques de ransomware em desenvolvimento

Juntamente com os motores de deteção poderosos, os analistas do Security Operations Center (SOC) da Barracuda desenvolveram regras personalizadas para identificar e mitigar automaticamente ameaças suspeitas e colocar endpoints em quarentena.

Nos primeiros seis meses de 2024, mais de 3.600 alertas de segurança foram desencadeados com base nestas regras personalizadas. Muitas destas ameaças podem ser observadas em incidentes de ransomware e representam mais sinais de alerta para as equipas de segurança de que algo indesejável está a ocorrer.

Alertas de segurança acionados no primeiro semestre de 2024

Dois ataques de ransomware do livro de casos XDR

Estudo de caso 1:

Alvo – Uma empresa de tecnologia de saúde com 150 – 200 empregados

Ator da ameaça – PLAY ransomware

O alvo tinha implementado segurança na maioria, mas não em todos os dispositivos. Isto criou uma lacuna significativa de visibilidade e segurança.

Os atacantes ganharam acesso comprometendo uma conta pertencente a um desenvolvedor terceirizado que estava a trabalhar para o alvo.

Em seguida, usaram a conta comprometida para aceder à VPN corporativa, que não tinha a autenticação multifator (MFA) ativada. Uma vez dentro da rede, os intrusos moveram-se lateralmente antes de se estabelecerem num servidor de aplicações subprotegido.

O ataque principal

A partir deste servidor vulnerável, eles estabeleceram uma ligação para 11 servidores críticos para o negócio e tentaram eliminar cópias sombra de ficheiros, desativar medidas de segurança e estabelecer persistência usando uma ferramenta de acesso remoto comercial.

Os atacantes também tentaram esconder ficheiros maliciosos nas pastas de vídeo e música nos computadores.

À medida que cada atividade maliciosa era executada, o agente de segurança nos dispositivos protegidos prontamente eliminava, colocava em quarentena e remediava os ficheiros de ameaça.

Oito minutos depois, os atacantes tentaram novamente.

Usando o servidor de aplicações não protegido como base, eles começaram a tentar encriptar remotamente ficheiros nos 11 servidores. Conseguiram encriptar parcialmente ficheiros em alguns dispositivos antes que os servidores fossem automaticamente isolados da rede, garantindo que não fosse causado mais danos.

Os atacantes conseguiram, no entanto, exfiltrar dados de um servidor que não podia ser inspecionado pelo software de segurança.

Num último esforço, os atacantes tentaram executar malware adicional, incluindo um ficheiro chamado killer.exe, que falhou em eliminar qualquer coisa antes de ser aniquilado.

A conta comprometida foi desativada e as alterações no firewall impediram novas conexões do ator da ameaça.

Cronologia de um relatório de incidente de ransomware na vida real

Caso de estudo 2:

Alvo – Um fabricante de produtos para cuidados e reparação de automóveis com 800 – 1,000 funcionários

Ator de ameaça – 8base ransomware

O ataque ocorreu durante um fim de semana em janeiro de 2024.

Pouco antes do amanhecer de um sábado de manhã no final de janeiro, atacantes cibernéticos usaram credenciais de administrador de domínio comprometidas ou roubadas para obter acesso remoto a uma estação de trabalho.

O ataque principal

Nos próximos dois dias, os intrusos expandiram a sua presença a partir do primeiro dispositivo comprometido, movendo-se lateralmente para centenas de dispositivos dentro da infraestrutura, infectando várias máquinas desprotegidas.

Os atacantes utilizaram um serviço de acesso remoto para estabelecer acesso persistente aos servidores infectados.

Os atacantes então implantaram o ransomware. Conseguiram encriptar vários ficheiros. Também tentaram desativar o software de segurança e tentaram exfiltrar dados. A maior parte desta atividade falhou.

Apesar de nem todos os dispositivos estarem protegidos, havia segurança suficiente para impedir que os atacantes encriptassem totalmente as máquinas afetadas e desativassem a segurança.

Restaurar e recuperar

O firewall bloqueou as tentativas dos atacantes de se conectar com o seu comando e controlo e exfiltrar dados.

Até domingo à noite, o ataque estava totalmente bloqueado e encerrado. Um total de 13 dispositivos afetados foram "revertidos" para o seu estado anterior ao ataque, e outros seis foram restaurados manualmente.

Cronologia de um relatório de incidente de ransomware na vida real

Nos dois exemplos, as empresas alvo foram aconselhadas a estender a segurança a todos os dispositivos para prevenir e remediar futuros ataques; a investigar toda a utilização detetada de ferramentas de gestão de TI e gestão remota; e a implementar uma boa higiene cibernética em termos de correções e senhas.

Conclusão: construir resiliência contra ataques de ransomware

O panorama do ransomware está a evoluir constantemente, e isso continuará. Com tantos grupos de ameaças e afiliados diferentes no jogo, é difícil prever exatamente como os atacantes irão comportar-se. Mas há muito que as empresas podem fazer para se prepararem e responderem.

A prioridade deve ser ter medidas e ferramentas em vigor para detectar e prevenir um ataque bem-sucedido desde o início. Estas devem idealmente incluir tecnologias de segurança multicamadas, com proteção de e-mail baseada em IA e medidas de acesso Zero Trustsegurança de aplicações, caça de ameaças, funcionalidades XDR, e uma resposta a incidentes eficaz para identificar intrusos e fechar lacunas para que os atacantes não consigam facilmente encontrar o caminho para instalar backdoors, roubar ou encriptar dados.

Não negligencie os fundamentos da segurança: Mantenha o software atualizado, priorize a correção de vulnerabilidades conhecidas e exploradas, e implemente regularmente formação de sensibilização sobre segurança cibernética para os funcionários, já que muitos ataques de ransomware começam com engenharia social transmitida por e-mail, como phishing.

Reduza a superfície de ataque aplicando controlos de acesso de menor privilégio e encerrando serviços públicos ou remotos que não são necessários.

Verifique novamente se as ferramentas comerciais de administração de TI identificadas estão a ser utilizadas legitimamente e segmente redes para evitar a propagação de intrusos e malware.

Implemente sistemas de backup encriptados, imutáveis que sejam segmentados e isolados da rede principal para que os atacantes não possam alcançá-los e que tenham políticas de autenticação e acesso fortes.

Por último, mas não menos importante, certifique-se de que a organização tem um plano de resposta a incidentes em vigor sobre o que fazer em caso de um ataque de ransomware bem-sucedido — com detalhes sobre os requisitos de conformidade e relatório.

Para mais informações sobre como proteger a sua organização contra ransomware, visite https://www.barracuda.com/solutions/ransomware.

Para mais informações sobre Barracuda Managed XDR visite https://www.barracuda.com/products/managed-xdr.

e-book: Ransomware na era da IA
Adam Khan

Adam Khan é o VP de Operações Globais de Segurança na Barracuda MSP. Ele lidera atualmente uma Equipa de Segurança Global que consiste em membros altamente qualificados das Equipas Azul, Púrpura e Vermelha. Anteriormente, trabalhou mais de 20 anos para empresas como Priceline.com, BarnesandNoble.com e Scholastic. A experiência de Adam está focada na automação de aplicações/infrastrutura e segurança. Ele é apaixonado por proteger as PMEs de ciberataques, que estão no coração da inovação americana.

Artigos Relacionados:
Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
 Barracuda Managed XDR Coroada Solução XDR do Ano
Barracuda Managed XDR Coroada Solução XDR do Ano
 Apresentamos a Barracuda Research — o novo recurso para a nossa inteligência global sobre ameaças e perceção
Apresentamos a Barracuda Research — o novo recurso para a nossa inteligência global sobre ameaças e perceção
 Mês da Sensibilização para a Cibersegurança: Hora de um lembrete sobre o seu backlog de vulnerabilidades
Mês da Sensibilização para a Cibersegurança: Hora de um lembrete sobre o seu backlog de vulnerabilidades
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.