De onde vêm os ataques de ransomware: 3 origens mundiais é perfilado pela BTW Media porque evidências publicadas o vinculam à infraestrutura da internet, governança, dependências operacionais ou visibilidade de mercado.
De onde vêm os ataques de ransomware: 3 origens mundiais é rastreado como uma instituição de infraestrutura de internet dentro do ecossistema de infraestrutura de internet.
Várias fontes públicas
- Os 5 principais alvos de ransomware por setor em 2024 incluem educação, construção e propriedade, governo central e federal, mídia, entretenimento e lazer, e governo local e estadual.
- As três origens das novas cepas de ransomware são atores patrocinados por estados, organizações criminosas e pesquisadores de segurança que nem sempre pensam nas consequências.
- Ataques à cadeia de suprimentos, extorsão tripla e ransomware como serviço (RaaS) são as principais tendências de ransomware nos últimos anos.
Embora oransomwarenão seja um risco de segurança cibernética totalmente novo, os principais governos do mundo continuam prestando muita atenção a esse perigo. A capacidade das pessoas de comprar alimentos, abastecer seus carros e receber cuidados de saúde foi impactada pelo ransomware.
Nos últimos anos, os efeitos financeiros do ransomware também se tornaram mais perceptíveis. Os ataques contra cadeias de suprimentos resultam em danos mais extensos do que os ataques a uma única pessoa. Para retardar a propagação dos ataques de ransomware, o governo e as empresas de tecnologia também intensificaram sua resposta.
História dos ataques de ransomware
O ransomware pode ser rastreado até1989, quando o “vírus da AIDS”foi usado para extorquir fundos de destinatários do ransomware. Os pagamentos desse ataque foram enviados para o Panamá, momento em que uma chave de descriptografia era enviada de volta ao usuário.
Em 1996, Moti Yung e Adam Young, da Universidade de Columbia, introduziram o ransomware conhecido como “extorsão criptoviral”. Essa ideia, nascida na academia, ilustrou a progressão, a força e a criação das ferramentas criptográficas modernas. Young e Yung apresentaram o primeiro ataque de criptovirologia na Conferência de Segurança e Privacidade do IEEE de 1996. O vírus deles continha a chave pública do invasor e criptografava os arquivos da vítima. O malware então solicitava que a vítima enviasse um texto cifrado assimétrico ao invasor para decifrar e devolver a chave de descriptografia — mediante pagamento.
Leia também:Como funcionam os veículos autônomos?
Setores visados
Os ataques de ransomware geralmente têm como alvo instituições e organizações críticas, como saúde, finanças, manufatura e organizações governamentais. Em alguns casos, juntamente com outros impactos, os ataques de ransomware causam taxas de mortalidade mais altas em instituições de saúde. Como a manufatura inclui vários tipos de produção, como produtos de metal, automotivo e equipamentos industriais, também é um setor altamente visado pelo ransomware. As instituições financeiras também são atacadas com bastante frequência. Nesse caso, os invasores ainda pretendem roubar dinheiro e uma grande quantidade de dados confidenciais de usuários. Até maio de 2024, de acordo com as estatísticas daComparitech, há um total de 4.013 registros com um resgate médio de US$ 408.044. A seguir estão os 5 principais alvos de ransomware por setor em 2024: educação, construção e propriedade, governo central e federal, mídia, entretenimento e lazer, e governo local e estadual.
De onde vêm a maioria dos ataques de ransomware
A maioria dos ransomware não é disseminada por um indivíduo; em vez disso, certos grupos maliciosos desenvolvem, refinam e distribuem o software de ransomware. De acordo com oRelatório de Defesa Digital da Microsoft, metade desses grupos vêm da Rússia. O Irã e a Coreia do Norte são outros focos comuns de grupos de ransomware, sendo os Estados Unidos o alvo mais comum.
Conhecer as origens comuns das novas cepas de ransomware pode ajudar as organizações a se defenderem contra um ataque. Essas origens são: atores patrocinados por estados, organizações criminosas e pesquisadores de segurança que nem sempre pensam nas consequências.
1. Atores patrocinados por estados
Nesse cenário, atores maliciosos recebem apoio monetário, técnico e de outros meios de um órgão governamental para criar uma nova ameaça de ransomware. Esses atores, então, usam o ransomware para conduzir um ataque que promove os interesses do órgão governamental. Como o órgão governamental não lançou o ataque por conta própria, ele pode tentar tirar proveito desse fato para uma negação plausível, aumentando assim os custos políticos caso outro estado deseje retaliar.
Em maio de 2021, oHacker Newsescreveu que pesquisadores de segurança detectaram uma campanha de ransomware patrocinada pelo Estado, operada pela Guarda Revolucionária Islâmica do Irã (IRGC). Aqueles que detectaram a campanha suspeitaram que o IRGC a estava usando como uma técnica de subterfúgio para imitar as táticas, técnicas e procedimentos (TTPs) de grupos de ransomware com motivação financeira, para dificultar a atribuição.
2. Organizações criminosas digitais
Nem toda operação de ransomware recebe apoio direto de uma agência governamental. Mas o apoio pode vir de várias maneiras. Esses “corsários”, como observado peloThreatpost, agem de acordo com suas agendas financeiras enquanto desfrutam de algumas proteções de órgãos governamentais.
De acordo com oWashington Post, os desenvolvedores do REvil parecem estar baseados na Rússia, um país que historicamente fez vista grossa para grupos de crimes digitais que operam dentro de suas fronteiras. Os criadores do ransomware usaram essa proteção para formar um esquema de RaaS, no qual eles ficavam com 20 a 30% do pagamento do resgate, enquanto os afiliados ficavam com o restante por executar os ataques, roubar os dados e detonar o cripto-malware. Por meio desse arranjo, a gangue REvil acabou ganhando US$ 100 milhões em dois anos.
3. Pesquisadores de segurança que não pensam nas consequências
Ao longo dos anos, pesquisadores de segurança às vezes desenvolveram programas semelhantes a ransomware para “fins educacionais”. Foi o caso doHidden Tear. Na época de seu surgimento, em agosto de 2015, seu criador alertou os usuários para “não usá-lo como ransomware”, esclarecendo que eles “vão para a cadeia por acusações de obstrução da justiça apenas por executar o Hidden Tears, mesmo sendo inocentes”.
Leia também:Quem é Jeff Weiner? Ex-CEO do LinkedIn personifica a ‘gestão compassiva’
Tendências de ransomware que continuarão em 2024
Algumas tendências-chave de ransomware surgiram nos últimos anos e provavelmente continuarão em 2024 e além. Aqui estão algumas das principais tendências de ransomware nos últimos anos:
Ataques à cadeia de suprimentos: em vez de atacar uma única vítima, os ataques à cadeia de suprimentos ampliam o raio de impacto. Um exemplo foi uma exploração no softwareMoveit Transferda Progress Software, que levou a ataques de ransomware em larga escala pela gangue de ransomware Clop. Nos últimos anos, houve vários incidentes desse tipo, incluindo oataque à Kaseya, que afetou pelo menos 1.500 de seus clientes provedores de serviços gerenciados, e ohack da SolarWinds.
Extorsão tripla: no passado, o ransomware envolvia invasores criptografando informações encontradas em um sistema e, em seguida, exigindo um resgate em troca de uma chave de descriptografia. Com a extorsão dupla, os invasores também exfiltram os dados para um local separado. Com o ransomware de extorsão tripla, os invasores também ameaçam vazar os dados, a menos que sejam pagos. A extorsão tripla tem sido usada por vários agentes de ameaças, incluindo o Vice Society em um ataque contra o sistema de trânsito rápido da área da baía de São Francisco.
Ransomware como Serviço (RaaS): já se foi o tempo em que cada invasor precisava escrever seu próprio código de ransomware e executar um conjunto único de atividades. RaaS é malware pago por uso. Ele permite que os invasores usem uma plataforma que fornece o código de ransomware necessário e a infraestrutura operacional para lançar e manter uma campanha de ransomware.
Ransomware é um tipo de malware que pode criptografar todos os seus dados ou bloquear o acesso ao seu computador. O ransomware também não vai acabar tão cedo. O ransomware provavelmente continuará a evoluir de várias maneiras diferentes. A melhor maneira de se defender contra ransomware é reconhecer e evitar tentativas de phishing, instalar software antivírus em seu computador e fazer backup de todos os seus arquivos.
Briefing de Sinal
- Sinal: De onde vêm os ataques de ransomware: 3 origens mundiais
- Região: América do Norte
- Classe de Mercado: Tendências globais de serviços em nuvem
Presença Operacional
- As fontes publicadas devem identificar as partes afetadas, a abrangência operacional e a exposição de mercado antes que este mapa de tendências seja considerado completo.
Contexto de Mercado
- Relevância operacional: Médio
- Horizonte temporal: Próximo trimestre
O que assistir
- Fique atento a declarações oficiais, atualizações regulatórias, exposição de clientes ou parceiros e divulgações de acompanhamento.
Briefing para Membros
Contexto de Tendência Aprofundado
Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.
Apenas para Strategic Circle
Strategic Circle
Aberto a todos os leitores. Desbloqueie Briefings de tendências após se inscrever e fazer login.
Junte-se ao Strategic CircleSomente para Leadership Alliance
Leadership Alliance
Para operadores, investidores e equipes de políticas que precisam de evidências de relacionamento, caminhos de falha e notas de origem. Faça login para desbloquear.
Junte-se ao Leadership Alliance
