Um novo ano se inicia e, com ele, muitas previsões para o cenário de cibersegurança dominam os veículos especializados em tecnologia da informação. É seguro dizer que, em 2023, as ameaças cibernéticas só aumentarão em frequência e sofisticação.
Quando falamos em sofisticação, significa que os cibercriminosos estão desenvolvendo novas maneiras de explorar até mesmo as redes e servidores mais complexos. Neste cenário, um tipo de ataque ganha destaque. É chamado de ataque de ransomware de dupla extorsão.
Um ataque de ransomware de extorsão dupla é uma evolução do ransomware tradicional. Agora, em vez de apenas criptografar arquivos, o ransomware de dupla extorsão exfiltra os dados primeiro. Isso significa que, se a empresa se recusar a pagar o resgate dos dados, as informações podem vazar on-line ou serem vendidas pelo lance mais alto. Desta forma, todos os backups e planos de recuperação de dados se tornaram inúteis.
A empresa de inteligência de ameaças Digital Shadows descobriu 11 novos grupos de extorsão com foco exclusivamente em vazamentos de dados em 2022.
Uma gangue que se destaca entre os ataques desse tipo de malware é a REvil, uma das primeiras a adotar o modelo de dupla extorsão. O grupo é muito conhecido por visar grandes organizações, mas sem desprezar pequenas e médias, exigindo resgates altos.
Em 2021, a JBS Foods (EUA) sofreu um ataque com o Ransomware REvil e foi temporariamente forçada a suspender toda a sua produção. A companhia pagou aos criminosos US$ 11 milhões em bitcoins para reaver os dados.
Outro grupo notório é o Vice Society, conhecido por ataques de extorsão de ransomware em organizações educacionais e de saúde. Ao contrário de outros grupos de dupla extorsão, a Vice Society se concentra em entrar no sistema da vítima para implantar binários de ransomware vendidos em fóruns da Dark Web. Esta é provavelmente uma maneira deste grupo economizar recursos no desenvolvimento de seu próprio ransomware.
Desde o seu lançamento e até meados de junho de 2022, o grupo reivindicou campanhas direcionadas a pelo menos 88 vítimas, todas listadas em seu site dedicado a vazamento de dados (DLS). 73,9% das vítimas conhecidas deste grupo cibercriminoso estão localizadas na França, Estados Unidos da América, Reino Unido, Espanha, Itália, Alemanha e Brasil.
Com o aumento dos incidentes de ataques de ransomware, que deve continuar a crescer em 2023, as organizações estão finalmente percebendo que a simples implementação de sistemas de defesa de perímetro não será mais suficiente para proteger seus dados confidenciais.
Apesar dos ataques de ransomware serem imprevisíveis, vale seguir alguns passos para se proteger:
- Proteja a sua porta da frente: Proteja os pontos de acesso a todos os serviços de rede com autenticação multifator na porta da frente, antes que um intruso possa obter acesso ao seu sistema.
- Monitore e resolva suas vulnerabilidades: Obtenha visibilidade das vulnerabilidades de infraestrutura e aplicações antes dos cibercriminosos, principalmente aquelas que já possuem exploits disponíveis,
- Publique na Internet estritamente o necessário: Não publique serviços desnecessários, mesmo que temporariamente, por exemplo: pontos de acesso RDP, bancos de dados, compartilhamentos de arquivos etc. Se isso for necessário, verifique se os serviços podem ser controlados por autenticação forte e multifator (MFA).
- Use gateways RDP: Quando necessários, as áreas de trabalho remotas devem ser protegidas por um proxy reverso acessado por HTTPS (porta 443), protegido por criptografia TLS.
- Aplique MFA para acessar o RDP Gateway. Mesmo a senha mais forte pode ser comprometida por meio de um ataque de força bruta. A autenticação multifator oferece uma camada extra de segurança, exigindo que os usuários forneçam pelo menos duas formas de autenticação.
- Desacople chaves de criptografia de dados criptografados. Um dos erros comuns que muitas organizações cometem é armazenar chaves de criptografia junto com os dados criptografados. Essa prática torna inútil todo o exercício de criptografia, pois, no caso de uma violação, os criminosos cibernéticos podem facilmente adquirir as chaves de criptografia e, assim, obter o controle dos dados criptografados. Como prática recomendada, as chaves de criptografia sempre devem ser desacopladas, ou seja, gerenciados separadamente dos dados criptografados.
- A criptografia de dados em repouso protege os dados onde quer que residam em data centers locais ou em nuvens públicas/privadas. Isso torna os dados inúteis para invasores quando eles roubam dados críticos ou confidenciais para os negócios e ameaçam publicá-los se o resgate não for pago. Além disso, alguns ransomware criptografam arquivos seletivamente para não deixar os sistemas totalmente offline. Outros procuram dados confidenciais e apenas criptografam esses arquivos. Nesses casos, os arquivos criptografados não podem ser verificados pelo malware e, portanto, não são atacados.
- Invista em plataformas de monitoramento de segurança: Você só pode proteger aquilo que você vê, assim, coletar, normalizar e analisar eventos trará insights importantes sobre vulnerabilidades e comportamentos maliciosos externos e internos.
À medida que os ataques bem planejados continuam a crescer, as organizações devem fazer sua parte para se equipar com as ferramentas certas para manter seus dados seguros.
José Ricardo Maia Moraes é executivo de desenvolvimento de negócios da Neotel.
