Uma mudança estratégica nos ataques de ransomware vem se consolidando nos últimos dois anos, apontam nossos investigadores. No lugar de investidas generalizadas, os ataques que pedem por um “resgate” para liberar dados importantes bloqueados estão sendo direcionados a empresas e setores específicos, como saúde e telecomunicações. E a novidade não é apenas o foco: estas campanhas ameaçam publicar os dados confidenciais roubados na internet caso o pagamento não seja realizado. Esta segunda etapa se caracteriza como uma segunda extorsão, uma vez que as empresas podem ser multadas pela GDPR (Lei Geral de Proteção de Dados), cujas sanções passarão a vigorar a partir de agosto deste ano.

O ransomware é uma das ameaças mais graves contra os negócios. Os ataques desta categoria podem não apenas interromper operações críticas, como acarretar enormes perdas financeiras. Em alguns casos, isso pode até mesmo levar uma companhia à falência, considerando as multas e ações judiciais incorridas como resultado da violação de leis e regulamentações. Por exemplo, estima-se que os ataques WannaCry tenham causado mais de US$ 4 bilhões em prejuízos em todo o mundo. Para piorar, as campanhas mais recentes trazem o agravante de ameaça de tornar os dados sequestrados públicos.

Ataques na América Latina

Na América Latina, dois grupos que estão praticando esse novo método de extorsão de forma mais intensa são o Revil (também conhecido como Sodin ou Sodinokibi) e o NetWalker. Segundo nossos pesquisadores, ambos já causaram perdas milionárias em grandes empresas da região, principalmente das áreas de saúde e telecomunicações. O Revil, por sua vez, popularizou o modelo de negócios ransomware-as-a-service, em que o desenvolvedor permite a outros grupos utilizarem o malware criado por ele em golpes, cobrando uma comissão.

As famílias Revil e NetWalker atuam especialmente de duas maneiras: por meio de ataques que tentam adivinhar a senha de acesso à aplicação de conexão remota (RDP) ou explorando vulnerabilidades em softwares desatualizados. As mais utilizadas são: CVE-2020-0609 e ao CVE-2020-0610, que afetam o componente do Remote Desktop Gateway, e CVE-2019-2725, uma vulnerabilidade no componente Oracle WebLogic Server da Oracle Fusion Middleware.

Estima-se que o custo de um ataque de ransomware é de US$ 720 mil, sendo que o resgate médio é cerca de US$ 111 mil (dados de fontes independentes e relatórios de vítimas). Isso ocorre porque as recompensas, em sua maior parte, são exigidas na criptomoeda Monero ($XMR), que garante um nível de privacidade e anonimato aos invasores, ajudando-os a escapar do rastreamento das autoridades policiais.

Dicas para proteção contra ransomware

A menos que seja absolutamente necessário, não exponha serviços de desktop remoto (como RDP) a redes públicas. E sempre use senhas fortes para esses serviços.

Mantenha sempre os software atualizados em todos os dispositivos. Para automatizar este processo, use soluções que monitorem os programas e realizem as correções automaticamente.

Obrigue a utilização de uma VPN confiável (software que cria uma rede segura de conexão). Assim, mesmo que um terceiro adivinhe a senha de acesso, não conseguirá se conectar aos servidores corporativos.

Para proteção superior, use uma solução de segurança de endpoint alimentada por prevenção de exploração, detecção de comportamento e mecanismo de correção capaz de reverter ações maliciosas.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.