A Kaspersky publicou suas previsões de ransomware para o restante de 2023. Apenas em 2022, foram bloqueados mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação ao ano anterior. Apesar de o início deste ano ter sido observado um pequeno declínio no número de bloqueios, os mesmos se tornaram mais sofisticados e direcionados, muitas vezes utilizando ferramentas de gangues que já encerraram suas atividades.
Os invasores seguem atacando praticamente todos os tipos de organizações, desde hospitais, até indústrias e governos. Apesar dos alvos serem praticamente os mesmos, os cinco grandes grupos de ransomware mudaram drasticamente ao longo do último ano. Os falecidos REvil e Conti, que ocupavam respectivamente o segundo e terceiro lugar em ataques no primeiro semestre de 2022, foram substituídos pelo Vice Society e pelo BlackCat no primeiro trimestre de 2023.
As gangues de ransomware também se tornaram mais produtivas, com grupos como o BlackCat ajustando suas técnicas ao longo do ano. A situação geopolítica também influencia a atuação de alguns grupos, que tomam partido político – um exemplo é o grupo russo Eternity. Este grupo criou todo um novo ecossistema, com uma nova variante de ransomware.
Para o restante de 2023, os especialistas da Kaspersky apresentaram três tendências principais de evolução para esse cenário: A primeira refere-se às funcionalidades incorporadas ao ransomware, como o recurso de autopropagação ou uma imitação dele. Black Basta, LockBit e Play estão entre os exemplos mais importantes que se disseminam por conta própria.
A segunda tendência é o uso indevido de um driver com fins maliciosos: algumas vulnerabilidades no driver de alguns programas antivírus foram exploradas pelas famílias de ransomware AvosLocker e Cuba, que usam uma técnica chamada BYOD (Bring Your Own Driver). Ao que consta, o driver anticheat do jogo Genshin Impact foi usado para acabar com a proteção de endpoints na máquina-alvo. A tendência continua sendo observada com vítimas importantes, como instituições governamentais em países europeus.
Por fim, os especialistas da Kaspersky destacam como as maiores gangues de ransomware estão adotando funcionalidades de código vazado ou código vendido por outros cibercriminosos, o que pode melhorar as funções de seu malware. Recentemente, o grupo LockBbit adotou pelo menos 25% do código vazado do Conti, e lançou uma nova versão totalmente baseada nele. Esse tipo de iniciativa facilita a afiliação de novos grupos de cibercriminosos que já estão acostumados a trabalhar com as famílias de ransomware mais antigas.
“As gangues de ransomware nos surpreendem o tempo todo e nunca param de mudar seu modus operante. Temos observado durante o último ano e meio que estão gradativamente transformando seus serviços em negócios completos. Isso torna até os criminosos amadores muito perigosos”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky.
Saiba mais sobre as tendências atuais do ransomware no relatório completo, disponível em Securelist.
