Por Ismael Rocha: Nos últimos meses, observamos uma significativa queda na atividade de alguns dos mais notórios grupos de ransomware. Diversas operações de autoridades internacionais têm resultado em prisões e desmantelamento de infraestruturas desses criminosos, impactando sua capacidade de operação. No entanto, enquanto alguns grupos desaparecem, novos atores maliciosos rapidamente ocupam o vácuo deixado por estes atores malicioso.
Esses novos grupos frequentemente adotam táticas inovadoras e mais sofisticadas, dificultando a defesa contra-ataques, a evolução constante das ameaças cibernéticas reflete a resiliência dos criminosos em se adaptar às novas circunstâncias para ganhos financeiros ilegais.
Ataques contra a América Latina
Em 2024, a América Latina tem enfrentado um aumento significativo nos ataques de ransomware. Esses grupos criminosos têm se tornado mais sofisticados, utilizando táticas avançadas para extorquir grandes somas de dinheiro das vítimas. Governos e empresas da região estão na mira, resultando em interrupções significativas nos serviços e prejuízos financeiros. Infraestruturas críticas, como hospitais e sistemas de transporte, também estão sendo alvo frequente. A falta de recursos e tecnologia adequados dificulta a resposta eficiente a esses ataques.
Grupos de ransomware observados
Recentemente, grupos de ransomware têm intensificado seus ataques na América Latina, em específico no Brasil, atingindo diversas indústrias e governos da região. Alguns dos grupos mais notáveis são:
Qiulong
É um grupo de ransomware que surgiu em 2024, possivelmente com origens asiáticas, mas com operações significativas na América Latina, especialmente no Brasil. O nome “Qiulong” pode ser traduzido como “dragão sem chifre” ou “dragão com chifre”, sugerindo uma conexão com a cultura asiática, embora o grupo tenha focado suas atividades na América do Sul.
Métodos e táticas
Qiulong utiliza a técnica de duplo sequestro, onde eles não apenas criptografam os sistemas das vítimas, mas também roubam dados sensíveis. Isso aumenta a pressão sobre as vítimas para pagar o resgate, já que os dados roubados podem ser divulgados publicamente se o resgate não for pago. Eles começam o ataque comprometendo serviços remotos expostos e usando phishing para obter acesso inicial às redes das vítimas.
Arcus Media
Este grupo foi identificado recentemente pelo time de inteligência Heimdall da ISH e foi observado atacando organizações da América do Sul. Até o momento, em sua maioria, os ataques têm tido como alvo principal organizações do Brasil. Este grupo utiliza táticas avançadas de extorsão dupla, onde não apenas criptografam os dados das vítimas, mas também ameaçam divulgar informações sensíveis roubadas, aumentando a pressão para que as vítimas paguem o resgate.
Outros grupos de ransomware bem conhecidos, também foram observados realizando ataques contra organizações no Brasil e América Latina, como Trigona, Hunters International, Rhysida, variante LockBit, Ransomhub, DarkVaul, Akira e outros.
Estatísticas por termos
Em uma rápida busca por estatísticas no Google Trends referente ao termo Ransomware no Brasil, em comparação do primeiro semestre de 2023 para este ano de 2024 até o mês de maio, é notável que este ano já se tem mais buscas realizadas por brasileiros referente ao termo ransomware, o que condiz com os ataques que o país tem sofrido ultimamente pois as pessoas e organizações vão tomando mais conhecimento sobre o assunto.
Métodos utilizados para o sucesso das operações
Os grupos de ransomware que atacam organizações na América Latina, especialmente no Brasil, utilizam vários métodos eficazes para invadir sistemas. Phishing e spear phishing são táticas comuns, em que e-mails maliciosos são enviados para induzir vítimas a clicar em links ou anexos infectados.
A exploração de vulnerabilidades em software desatualizado é outra técnica frequente, permitindo que os atacantes ganhem acesso através de falhas de segurança conhecidas. Além disso, ataques de força bruta e credenciais vazadas são usados para comprometer contas com senhas fracas ou reutilizadas. Outro método inclui o uso de malware de acesso remoto (RATs), que permite aos invasores controlar sistemas infectados.
A engenharia social também é amplamente empregada, manipulando funcionários para revelar informações sensíveis ou baixar software malicioso. Esses métodos, combinados com técnicas de evasão avançadas para evitar a detecção por ferramentas de segurança, aumentam significativamente as chances de sucesso dos ataques de ransomware na região.
Como se proteger de ataques ransomware?
A proteção contra grupos de ransomware é crucial para as organizações da América Latina devido ao crescente número de ataques cibernéticos na região. Esses ataques podem causar interrupções significativas nas operações, perda de dados sensíveis e danos à reputação das empresas. Investir em cibersegurança robusta, como backups regulares, atualizações de software e treinamento de funcionários, é essencial para mitigar esses riscos.
Além disso, uma resposta rápida e eficaz a incidentes pode minimizar os impactos negativos. A colaboração entre organizações e governos na troca de informações sobre ameaças também fortalece a defesa coletiva. Portanto, proteger-se contra ransomware é vital para garantir a continuidade dos negócios e a segurança dos dados na América Latina.
São elencadas abaixo pela ISH, medidas que poderão ser adotadas visando a mitigação da infecção do referido malware, como por exemplo:
Educação e treinamento
- Assegure-se de que todos os funcionários estejam cientes dos riscos de ransomware e saibam identificar tentativas de phishing. Programas de treinamento regulares podem ajudar a manter a equipe atualizada sobre as táticas mais recentes usadas pelos cibercriminosos.
Implementação de medidas de segurança cibernética
- Autenticação multifatorial (MFA): Utilize MFA para todas as contas de usuário, especialmente aquelas com acesso a informações sensíveis e sistemas críticos.
- Segmentação de rede: Divida a rede em segmentos menores para limitar a propagação de ransomware em caso de infecção.
- Princípio do menor privilégio: Garanta que os usuários tenham apenas o acesso necessário para realizar suas tarefas, minimizando o potencial de abuso de privilégios.
- Atualizações e patches regulares: Mantenha todos os sistemas, softwares e dispositivos atualizados com os patches mais recentes para corrigir vulnerabilidades que podem ser exploradas pelos atacantes.
- Backup de Dados: Realize backups regulares de todos os dados críticos e armazene-os em locais seguros e isolados da rede principal. Teste regularmente os backups para garantir que podem ser restaurados rapidamente em caso de ataque.
- Segurança em nuvem: Utilize práticas de segurança robustas para ambientes em nuvem, como criptografia de dados, controle de acesso rigoroso e monitoramento de atividades na nuvem.
Monitoramento e resposta a incidentes
- Monitoramento contínuo: Utilize ferramentas de monitoramento para detectar atividades suspeitas ou anômalas na rede em tempo real.
- Planos de resposta a incidentes: Desenvolva e teste regularmente planos de resposta a incidentes para garantir uma resposta rápida e eficaz em caso de um ataque.
- Colaboração e compartilhamento de informações: Participe de redes de compartilhamento de informações e colabore com outras organizações e autoridades para estar atualizado sobre as ameaças e melhores práticas de segurança.
MITRE ATT&CK – TTPs
Confira as TTPs (Técnicas, Táticas e Procedimentos) mais observadas destes grupos que foram apresentados neste relatório de segurança.
TÁTICA | TÉCNICA | DETALHES |
Initial Access | T1566 T1078 | Envio de emails de phishing com links ou anexos maliciosos. Aquisição de contas comprometidas de RDP e VPN de brokers de acesso inicial para obter acesso à rede da vítima. |
Execution | T1059 | Uso do PowerShell e outras ferramentas de scripting para executar comandos, modificar registros e implantar malwares adicionais no ambiente da vítima. |
Persistence | T1053 | Configuração de tarefas agendadas para garantir que o ransomware seja executado após reinicializações do sistema. |
Privilege Escalation | T1548 | Uso de mecanismos para escalar privilégios dentro do sistema comprometido, permitindo aos atacantes executar ações com permissões elevadas. |
Defense Evasion | T1070 T1112 | Remoção de logs e outros artefatos para evitar a detecção e dificultar a resposta a incidentes. Modificação de chaves de registro para alterar configurações do sistema e dropar notas de resgate. |
Credential Access | T1110 | Uso de ataques de força bruta para comprometer credenciais, especialmente para contas de RDP e VPN. |
Discovery | T1083 | Enumeração de arquivos e diretórios para identificar dados sensíveis que podem ser criptografados ou exfiltrados. |
Lateral Movement | T1021 | Uso de serviços remotos como RDP para mover-se lateralmente dentro da rede comprometida. |
Collection | T1113 | Captura de tela para obter informações sensíveis exibidas no monitor da vítima. |
Exfiltration | T1041 | Exfiltração de dados através de canais de comando e controle (C2) para fora da rede da vítima. |
Impact | T1486 | Criptografia de dados críticos para extorquir resgates das vítimas. |
Referências
- Heimdall by ISH Tecnologia
- Google Trends