Durante os primeiros dez meses de 2022, a proporção de vítimas atacadas por ransomware direcionado quase dobrou em comparação com o mesmo período de 2021, de acordo com relatório da Kaspersky a respeito de crimeware. O crescimento indica que as gangues de ransomware continuaram dominando e melhorando suas técnicas. Ainda, o estudo revela novos recursos introduzidos pelo notório grupo “LockBit” e um recém-chegado, “Play”, que emprega técnicas de auto propagação. Saiba como esses grupos funcionam e como se proteger desses ataques.
No decorrer de 2022, a Kaspersky detectou mais de 21,4 mil variantes de ransomware, e a parcela de afetados por golpes de ransomware direcionados em relação aos ataques por malware em 2022 quase dobrou, com 0,026% contra 0,016% em 2021. Esses números mostram que os cibercriminosos estão mudando constantemente de ataques oportunistas para ataques de ransomware precisamente adaptados para atingir seus objetivos.
Como mostram investigações recentes da Kaspersky, o grupo Lockbit continua sendo uma das variantes de ransomware mais populares, inovadoras e com rápido desenvolvimento usadas atualmente. Esse grupo ainda pode emboscar especialistas em cibersegurança adicionando novas opções, como assumir o domínio da máquina infectada e criar um caminho para redefinir as credenciais do sistema operacional.
A descoberta mais recente da Kaspersky é o “Play”, uma nova variante de ransomware menos conhecida, o que torna sua análise mais difícil. Seu código não tem nenhuma semelhança com outras amostras de ransomware, mas ainda está em estágios iniciais de desenvolvimento. O que chamou a atenção dos pesquisadores é que o Play contém uma funcionalidade encontrada recentemente em outras variantes avançadas de ransomware: a autopropagação. Primeiro, os invasores encontram um bloco de mensagens do servidor (SMB) e estabelecem uma conexão. Em seguida, o Play tenta montar o SMB mencionado acima, espalhá-lo e executar o ransomware no sistema remoto.
“Os desenvolvedores de ransomware ficam de olho no trabalho dos concorrentes. Se alguém implementar com sucesso uma determinada funcionalidade, há uma grande chance de que outros também o façam, pois isso torna o ransomware mais interessante para seus afiliados. A autopropagação do ransomware é um exemplo claro disso. Mais e mais grupos de ransomware adotam técnicas inventivas que tornam os ataques de ransomware ainda mais direcionados e destrutivos — e as estatísticas deste ano provam isso.Outra coisa que nunca deixaremos de lembrar ao público é a necessidade de fazer backups regulares e armazená-los off-line”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Para proteger você e sua empresa de ataques de ransomware, a Kaspersky recomenda:
- Não exponha serviços de área de trabalho remota (como RDP) a redes públicas, a menos que seja absolutamente necessário, e sempre use senhas fortes para eles;
- Instale os patches disponíveis para soluções VPN comerciais que fornecem acesso para funcionários remotos e atuam como gateways em sua rede;
- Concentre sua estratégia de defesa na detecção de movimentos laterais (processo pelo qual os invasores se espalham de um ponto de entrada para o resto da rede) e vazamento de dados para a Internet. Preste especial atenção ao tráfego de saída para detectar as conexões dos cibercriminosos;
- Faça backup de dados regularmente. Certifique-se de que você pode acessá-lo rapidamente em uma emergência, quando necessário;
- Use soluções como o Kaspersky Endpoint Detection and Response Expert e o serviço Kaspersky Managed Detection and Reponse, que ajudam a identificar e interromper o ataque nos estágios iniciais, antes que os invasores atinjam seus objetivos finais;
- Use as informações mais recentes de Threat Intelligence para ficar ciente dos TTPs reais usados pelos agentes de ameaças. O Kaspersky Threat Intelligence Portal é um único ponto de acesso para a TI da Kaspersky, fornecendo dados e insights de ataques cibernéticos coletados por nossa equipe há 25 anos.