A Check Point Software Technologies, fornecedora de soluções de cibersegurança, revelou um aumento de 14% ano a ano nos ataques de ransomware globalmente. Além disso, uma em cada 60 organizações no mundo são impactadas por ataques de ransomware semanalmente, com um custo que chega a ser sete vezes maior que o do resgate pago.
LEIA MAIS: Empresa de cibersegurança define 2021 como “o ano do ransomware”
A empresa destaca como o ransomware evoluiu nos últimos anos, desde os autores do WannaCry exigindo apenas algumas centenas de dólares de suas vítimas até o Conti pedindo dezenas de milhões. Em 2017, o WannaCry foi o primeiro ataque global multivetorial de sequestro de dados, com a extorsão de apenas US$ 300. Nos últimos cinco anos, porém, ataques direcionados e sofisticados que afetam empresas de todos os setores chegam a casa dos milhões. O pedido de resgate que a empresa de TI Kaseya enfrentou em 2021 foi de US$ 70 milhões, por exemplo.
As modalidades de trabalho remoto e híbrido com a adoção acelerada da nuvem abriram novas oportunidades para os atacantes explorarem. Sua sofisticação está aumentando, com novas tendências como dupla e até tripla extorsão. Os cibercriminosos ameaçam publicar informações privadas para dupla extorsão e exigir resgate não apenas da própria organização infectada, mas também de seus clientes, parceiros e fornecedores, no formato de tripla extorsão.
Os governos não ficam de fora dessa tendência. Alguns dias atrás, houve duas incidências desse tipo de ataque na Costa Rica e no Peru, ambos supostamente realizados pelo grupo de ransomware Conti. Ambas as ameaças levaram o governo da Costa Rica a declarar estado de emergência no dia 6 de maio passado e estimar perdas de US$ 200 milhões com a paralisação de alfândegas e agências governamentais e, até mesmo, causar a perda de eletricidade em uma de suas cidades devido ao impacto de um grande fornecedor de energia.
Brasil é alvo de novo grupo de ransomware
Outra empresa de cibersegurança, a Kaspersky, aponta que o Brasil é o segundo país mais atacado por um novo grupo de ransomware, o BlackCat. A complexidade do malware usado, associada à vasta experiência dos agentes que estão por trás dele, fazem desse grupo um dos principais grupos de cibercriminosos que atacam com ransomware que já adentraram na América Latina, segundo a empresa.
O grupo BlackCat é um agente de ameaças que opera desde, pelo menos, dezembro de 2021. Diferentemente de muitos agentes de ransomware, o malware do BlackCat é escrito na linguagem de programação Rust. Graças às avançadas funcionalidades de compilação cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux. Em outras palavras, o BlackCat introduziu avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento de ransomware.
O BlackCat alega ser sucessor de grupos de ransomware conhecidos, como BlackMatter e REvil. A telemetria da Kaspersky sugere que pelo menos alguns membros do novo grupo têm ligações diretas com o BlackMatter, pois usam ferramentas e técnicas que já foram amplamente usadas pelo grupo.
Nos últimos 12 meses de atuações desses grupos, a Kaspersky identificou atividades do REvil em alguns países da América Latina, principalmente no Brasil, Colômbia e México. Esse destaque também se dá ao BlackMatter, que registrou detecções no Brasil e na República Dominicana; por esse motivo, os ataques do BlackCat mostram-se sendo expandidos por toda região, diz a Kaspersky.
Kaspersky identifica ataque a empresa sul-americana de petróleo
Um dos casos descobertos pela Kaspersky envolve uma empresa de petróleo, gás, mineração e construção na América do Sul, e revela a conexão entre as atividades de ransomware do BlackCat e do BlackMatter. Antes de tentar entregar o ransomware BlackCat dentro da rede dessa empresa, o hacker por trás desse ataque também instalou um outro vírus personalizado chamado “Fendr”. Esse vírus, também conhecido como ExMatter, já foi usado exclusivamente como parte da atividade de ransomware do BlackMatter.
A Kaspersky diz que, depois que os grupos REvil e BlackMatter encerraram suas operações, era apenas questão de tempo para que outro grupo de ransomware se apoderasse do nicho deles. Mas o conhecimento do desenvolvimento de um novo malware criado do zero em uma linguagem de programação rara, além de uma experiência de manutenção da infraestrutura, estão dando destaque para o grupo BlackCat.
Ao analisar os incidentes promovidos pelo novo grupo, a empresa diz ter identificado os principais recursos, ferramentas e técnicas usadas pelo BlackCat ao invadir as redes de suas vítimas. Esse conhecimento a ajuda a manter seus usuários seguros e protegidos de ameaças conhecidas e desconhecidas.