O ransomware é incrivelmente popular porque funciona e é muito lucrativo para os atacantes.
A cada poucos anos, surge uma grande ameaça que domina a atenção dos fornecedores de segurança, start-ups, mídia e reuniões do conselho. APTs, IoT Security e Cloud Security estão entre essas ameaças. Hoje, é seguro dizer que o Ransomware está dominando a conversa, especialmente depois que tantos incidentes de alto perfil fizeram parte do ciclo de notícias, como Pipeline Colonial , CD Projekt Red , JBS , o ataque à cadeia de suprimentos da Kaseya , entre muitos histórias de profissionais de saúde sendo vítimas de tais ataques.
O que torna o Ransomware diferente das ameaças anteriores que estavam no centro das atenções é que ele não representa um novo ator de ameaça capaz, como APTs, ou um salto na sofisticação dos ataques, como na segurança de IoT. O ransomware não é novo, seus métodos de entrega não são novos, mesmo exigir resgate não é novidade. A inovação técnica apresentada em incidentes de ransomware, criptografando arquivos em um disco rígido, não pode ser considerada muito sofisticada. No entanto, apesar de lidar com uma ameaça para a qual tivemos muitos anos para nos preparar e proteger, o Ransomware é incrivelmente popular porque funciona e é muito lucrativo para os invasores.
Em ameaças anteriores, o setor de segurança enfrentou desafios de novos recursos técnicos emergentes de atores de ameaças, que exigiam que os fornecedores os acompanhassem. No auge do malware bancário, novos recursos inovadores, como injeções de HTML e Man-In-The-Browser, foram introduzidos por seus desenvolvedores, fazendo com que os fornecedores lutassem para identificar atividades fraudulentas. As APTs provaram ser uma grande ameaça porque foram capazes de contornar as doutrinas de defesa cibernética tradicionais, que se concentravam no perímetro e não tinham “profundidade estratégica” para detectar invasores depois que eles já estavam nos sistemas. A segurança da IoT e da nuvem exigia novas abordagens, pois os ambientes que elas visavam proteger eram bastante diferentes dos ambientes para os quais as soluções de segurança foram projetadas. O ransomware, por outro lado, não tem nenhum desses desafios.
O termo Ransomware foi originalmente usado para descrever um tipo específico de malware que criptografava o disco rígido da vítima e exigia um resgate para descriptografar os arquivos afetados. Depois que as organizações começaram a mitigar a ameaça implementando políticas de backup mais rigorosas, o ataque mudou e começou a incluir também a exfiltração de dados. “Você conseguiu recuperar seus arquivos? Ótimo, mas nós também e se você não pagar vamos publicá-los ”. Se um resgate é exigido para a descriptografia de dados ou a prevenção da publicação dos dados, existem desafios técnicos semelhantes para entregar um ataque bem-sucedido, bem como evitá-lo.
O principal método de entrega de Ransomware é por meio de Spear Phishing. Um documento infectado por malware é enviado como anexo para um dos funcionários da empresa, que é ativado assim que o documento é aberto. Este tipo de método de entrega tem sido parte do modus operandi padrão da maioria dos grupos de APT desde que eles chegaram aos holofotes por volta de 2010. Embora a indústria tenha se concentrado principalmente na mudança de paradigma que teve que passar para mitigar APTs, mudando de segurança os perímetros da organização para proteger as redes internas da organização também, muitos fornecedores abordaram especificamente o Spear Phishing. Apesar de enfrentar diretamente essas ameaças, bem como o longo tempo que passou desde que foram observadas pela primeira vez, o ransomware prova que esse problema não foi resolvido em muitas organizações. Os vetores de ataque de mais de uma década atrás ainda são extremamente bem-sucedidos, mesmo quando realizados por grupos cibercriminosos e não por estados-nação avançados (que também operam no ciberespaço até hoje).
O vetor de ataque não é o único elemento do ataque. Quando a exfiltração de dados é usada para manter a organização em troca de resgate, encontramos novamente um modus operandi que foi popularizado pelas APTs. Embora os APTs possam investir mais pesadamente em empréstimos para a rede de uma organização, o ato de exfiltração é uma parte importante dessas ameaças antigas e deveria, teoricamente, ser detectado pelas soluções destinadas a mitigá-lo. O fato de muitos incidentes de ransomware incluírem a publicação de dados internos de arquivos e documentos mostra que, mesmo depois de mais de uma década, o setor de segurança falha em proteger muitas organizações. Tanto o Spear Phishing quanto a exfiltração de dados são anteriores às ameaças APT, dando ao setor de segurança mais tempo para se preparar.
Minha afirmação não é que a indústria falha em parar os ataques em um nível técnico. Ouvimos apenas sobre os ataques bem-sucedidos e, potencialmente, muitos mais ataques são interrompidos em comparação com aqueles que foram bem-sucedidos. No entanto, o fato de tantas empresas grandes e de alto perfil serem vítimas de um ataque que, em muitos casos, não representam nenhum novo desafio técnico, sugere que ainda há muitas lacunas que precisam ser preenchidas. A falha não é de natureza técnica, mas comercial.
Um dos maiores desafios da cibersegurança é o fato de que os ataques podem vir de várias formas e vetores. Muitas bases precisam ser cobertas para serem protegidas. A segurança cibernética tornou-se muito complexa, em termos de aplicação de soluções para proteger a própria organização que agora temos certificações para garantir que tudo seja aplicado corretamente. No entanto, ainda vemos grandes empresas fracassarem não apenas devido à tecnologia de ponta, mas também às ameaças de décadas.
Se realmente queremos proteger as organizações como um todo, não apenas clientes específicos, para garantir um ciberespaço seguro para todos, a indústria de segurança precisa parar de se concentrar nos tópicos de tendência e começar a trabalhar na solução dos problemas reais, a complexidade de proteger uma organização de ataques cibernéticos e tornando-o acessível para todos. Até que esses problemas sejam resolvidos, os ataques que estão longe de ser um desafio técnico, como a fraude de Ransomware e BEC, continuarão a causar danos e exemplificar o quão ruim é o estado geral da cibersegurança.
Este artigo é uma tradução de: https://www.securityweek.com/success-ransomware-attacks-shows-state-cybersecurity (Autor: Idan Aharoni)
