A Microsoft atualizou esta semana o Cyber Signals, a segunda edição do seu relatório de cibersegurança, onde faz uma análise às principais tendências dos ciberataques com especial foco no ransomware, que este ano já custou muitos milhões ao tecido empresarial e a governos em todo o mundo, entre pagamentos de resgates, danos reputacionais e falhas de serviço.
Com uma equipa de mais de 8.500 especialistas de segurança, dedicados a proteger as plataformas, ferramentas, serviços e endpoints da Microsoft, a segunda edição do Cyber Signals, destaca as tendências do cibercirme e os conhecimentos recolhidos após terem sido registados mais 43 mil milhões de sinais de segurança.
Nesta edição, o foco está na evolução da economia do cibercrime e na ascensão do Ransomware-as-a-Service (RaaS), essencialmente usado para extorquir pagamentos das vítima. A maioria dos programas RaaS atuais também procura expor dados roubados e é conhecido como dupla extorsão. Os dois grupos focados na extorsão são o DEV-0537 (também conhecido por LAPSUS$) e o DEV-0390 (um antigo Conti afiliado). A intrusão do grupo DEV-0390 é iniciada através de malware, mas os atacantes soccorrem-se de ferramentas legítimas para filtrar dados e extorquir pagamentos a troco dos dados roubados. O grupo DEV-0537 utiliza uma estratégia muito diferente e mais “artesanal”. O acesso inicial é obtido através da compra de credenciais a partir de locais ilegais ou de colaboradores em organizações-alvo.
Como destaca o relatório, nesta como em tantas outras indústrias, quem desenvolve ferramentas de ransomware deixou de usá-las para lançar ataques e terceirizou tarefas, vendendo ou alugando essas ferramentas a quem o faça, ou por um preço fixo pré-estabelecido, ou em troca de parte dos lucros obtidos (afiliados).
As empresas estão a experienciar um aumento tanto no volume como na sofisticação dos ciberataques. O Relatório de Crime na Internet do Federal Bureau of Investigation 2021 concluiu que o custo do crime cibernético nos Estados Unidos totalizou mais de 6,9 mil milhões de dólares. A Agência Europeia para a Segurança Cibernética (ENISA) informa que, entre maio de 2021 e junho de 2022, cerca de 10 terabytes de dados foram roubados todos os meses por ameaças de ransomware. 58,2% desses ficheiros roubados são dados pessoais dos colaboradores.
Como explica o relatório, a estratégia inicial passa por comprar senhas de acesso aos sistemas alvo no mercado negro. Estas senhas são legítimas e pertencem a funcionários da empresa, que já tinham sido vítimas de ataques anteriores. O grupo privilegia ataques a empresas de telecomunicações ou serviços TI, por saber que estas empresas podem ser uma porta de entrada para outras, suas parceiras e com sistemas ligados aos do primeiro alvo.
O Cyber Signals também regista que, nos últimos tempos, a desativação de alguns programas de grande relevo nesta área do ransomware, como o Conti, abalaram o ecossistema, que se foi reajustando. Muitos afiliados do Ransomware Conti mudaram-se para o LockBit ou Hive, outros passaram a usar vários kits em simultâneo. Além disso, surgiram novos programas que têm vindo a ocupar o espaço deixado vago pelo Conti, como o QuantumLocker e o Black Basta.
Através do Cyber Signals, a Microsoft partilha tendências, táticas e estratégias que os atores das ameaças usam para obter acesso a hardware e software, bem como ajudar a informar sobre como podemos proteger, de forma coletiva, recursos e dados das nossas vidas no digital, para a construção de um mundo mais seguro.
Para mais informações sobre as soluções de segurança da Microsoft, clique aqui. Acompanhe também as notícias e atualizações sobre segurança cibernética em @MSFTSecurity.