Ataques de ransomware continuam altos

Valor médio de resgates cai, mas ataques de ransomware continuam altos

Apesar do Maze ter encerrado as operações, novas gangues passam a administrar sites de vazamento de dados

O pagamento de resgates de ataques de ransomware caiu 34% do terceiro ao quarto trimestre do ano passado, totalizando US$ 154.108, enquanto o valor médio dos resgates caiu 55%, para US$ 49.450, de acordo dados da Coveware, empresa de resposta a incidentes de ransomware, com base em milhares de casos investigados. Embora os especialistas comemorem esse declínio, eles também observam que o volume de ataques de ransomware e pagamentos de resgate permanecem substanciais.

O estudo mostra que, apesar de os operadores do ransomware Maze ter anunciado a “aposentadoria” no ano passado, novos operadores surgiram, usando malware com bloqueio de criptografia para extorquir as vítimas. Entre os novos grupos de ransomware estão o Pay2Key, RansomEXX e Everest, de acordo com empresas de segurança que rastreiam operadores de crimes cibernéticos.

Mas muitos dos grandes operadores continuam suas campanhas. Além disso, apenas seis operações de ransomware — Maze, Egregor, Conti, Sodinokibi/REvil, DoppelPaymer e NetWalker — foram responsáveis ​​por 84% de todos os ataques conhecidos no ano passado, afirma a Digital Shadows, empresa de proteção digital contra riscos sediada em São Francisco, na Califórnia.

A empresa afirma que os outros 16% dos ataques foram realizados por 14 outras operações: Ako/Ranzy Locker, Avaddon, Clop, DarkSide, Everest, LockBit, Mount Locker, Nefilim, Pay2Key, PYSA, Ragnar Locker, RansomEXX, Sekhmet e SunCrypt.

No terceiro trimestre do ano passado, por exemplo, 76% dos alertas de ransomware de vazamento de dados do Digital Shadows estavam vinculados ao Maze, Conti, Sodinokibi e NetWalker. Mas no quarto trimestre, “a atividade diminuiu” para Sodinokibi/REvil e Maze em 1º de novembro anunciou que encerraria as operações. Para todo o quarto trimestre, Egregor, Conti, NetWalker e DoppelPaymer foram responsáveis ​​por 71% de todos os alertas, diz Digital Shadows.

Para maximizar os lucros, os 20 operadores de ransomware identificados pela Digital Shadows administram sites dedicados de vazamento de dados, nos quais ameaçam listar os nomes das vítimas em uma tentativa de forçá-las a pagar resgate. Quando isso não funciona, muitos grupos partem para o vazamento de todos os dados roubados, como exemplo a futuras vítimas para evitar destino semelhante.

A Digital Shadows chama isso de “tendência de pagar ou obter violação” — embora algumas das organizações alvo já tenham sido violadas e tiveram seus dados expostos. Tal exposição de dados pode desencadear requisitos de notificação de violação de dados das leis estaduais dos EUA ou do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Algumas gangues também estão exigindo um ou mais pagamentos por uma promessa de deletar dados roubados ou de não vendê-los a outras gangues do cibercrime.

Veja isso
Babuk Locker é o primeiro novo ransomware corporativo de 2021
Tendência do ransomware é elevar o prejuízo de suas vítimas

A Coveware, por exemplo, relata ter visto um aumento no final de 2020 de invasores alegando fraudulentamente ter roubado dados antes de bloquear sistemas criptografados.  A maioria das postagens em sites de vazamento de dados inclui um link ou uma captura de tela das informações como amostra, mas antes de os dados serem postados no site, não há indicação de que os dados foram acessados ​​além da grande quantidade de dados que foram extraídos da rede da organização vítima.

No terceiro trimestre do ano passado, por exemplo, 76% dos alertas de ransomware de vazamento de dados do Digital Shadows estavam vinculados a Maze, Conti, Sodinokibi e NetWalker.

Mas no quarto trimestre de 2020, “a atividade diminuiu” para Sodinokib/REvil e Maze, que em 1º de novembro anunciou que encerraria as operações. Entre outubro e dezembro, o Egregor, Conti, NetWalker e DoppelPaymer foram responsáveis ​​por 71% de todos os alertas, diz Digital Shadows. 

Especialistas dizem que Egregor parece ter assumido o lugar do Maze e também pode ter herdado seus afiliados. O ransomware disparou neste ano, impulsionado por operações de ransomware-as-a-service (RaaS), perdendo apenas para o Netwalker, que foi o foco de agentes da lei que neste mês resultou na prisão de um membro suspeito do grupo no Canadá.

Infelizmente, a inovação técnica e comercial em curso por criminosos que operam ransomware tem levado mais vítimas a pagar. Tanto é verdade que, como alertou a Emsisoft no final do ano passado: “A menos que uma ação significativa seja tomada, prevemos que 2021 será outro ano excepcional para os cibercriminosos.”

Fonte: Da redação da CISO Advisor em 03/02/2021.