É possível vencer um ataque ransomware com uma mistura de preparação e deliberação. Às vezes, é equivocado acreditar que os defensores ou evitam totalmente um ataque ou que os atacantes têm pleno controle sobre a infraestrutura de TI das suas vítimas. Os últimos anos mostraram que há uma variedade de resultados possíveis para os defensores que lidam com o ransomware, alguns bem mais satisfatórios do que outros.
É fácil supor que todos os grupos de ransomware possuem as mesmas capacidades, alvos e funcionem de acordo com os mesmos modelos de negócios. Porém, tal como acontece com qualquer ramo da indústria, aqueles que atuam no setor de ransomware têm diferentes habilidades, metas e modelos de negócios.
Referir-se a REvil e DarkSide como “modelos de franquia” que oferecem ransomware-as-a-Service é algo comum no momento. Contudo, é importante lembrar que os franqueados são, na verdade, infratores cibernéticos freelancers. Os franqueadores oferecem serviços de back-office para esses indivíduos, mas exercem pouca influência sobre como eles desenvolvam suas outras atividades.
Tomando em consideração os aspectos acima mencionados, vamos examinar cada elemento que possa influenciar o resultado de um ataque.
Capacidade de ataque e perseverança
Os talentos dos ofensivos e dos defensores – aliados a alguns elementos de acaso – normalmente decidem até que extensão um ataque pode avançar.
- Alguns invasores podem ter habilidades insuficientes para atacar empresas com práticas de segurança desatualizadas, mas ainda assim descobrirão que organizações com sistemas de defesa sofisticados os bloqueiam frequentemente.
- Erradas capacidades: Os invasores equipados com habilidades e instrumentos úteis para atacar centros de dados convencionais terão um desafio ao tentar invadir alvos que mudaram para a computação na nuvem.
- Infelicidade. Grupos que geralmente estão protegidos, mas eventualmente têm um momento de vulnerabilidade com o qual um invasor pode se aproveitar.
- Desejo de sorte. As organizações que não removeram uma entrada constante (tal como, acesso RDP ao externo em um grupo AWS) vão ter que contar com a sorte, pois nenhum invasor a descobriu.
Um gol marcado a partir de uma ação ofensiva.
Grupos de ação também podem se concentrar em objetivos orientados para o vazamento ou para a execução.
Os objetivos voltados para o vazamento envolvem a divulgação de informações confidenciais pertencentes à organização alvo. Os dados mais preciosos nesse aspecto muitas vezes se referem aos clientes e funcionários do alvo, pois podem gerar responsabilidade reputacional e legal, algo que motiva o pagamento de resgates.
Ao invés de divulgar informações ao público ou vender propriedade intelectual ou segredos comerciais, a coação para o pagamento de um resgate também pode ser justificada. O modo de operação para tais ações, normalmente, inclui o envio de amostras dos dados para a vítima para lhe mostrar o que o atacante possui. Subsequentemente, é possível aumentar a pressão sobre a vítima divulgando mais amostras dos dados e contatando os clientes da vítima para aplicar pressão para que ela pague o resgate.
Um exemplo de uma ação visando a vazamento foi o relacionado ao REvil em Quanta, que roubou detalhes de projetos próximos da Apple. Os atacantes solicitaram inicialmente uma indenização de US$ 50 milhões a Quanta, mas logo concluíram que a Apple tinha recursos mais abundantes e tentaram extorquir US$ 50 milhões para não tornar pública a informação ou vendê-la a um rival da Apple.
Objetivos que se concentram na operação têm o propósito de reduzir a aptidão da empresa afetada para prosseguir com suas atividades. Ocorre quando há ataques direcionados para sistemas de TI regulares e também para sistemas que funcionam como Tecnologia Operacional (OT), muitas vezes construídos a partir de tecnologias de TI antigas (por exemplo, Windows NT).
A extração indevida de dados confidenciais e o derramamento de informação para a população em geral ou comercialização destes dados geralmente não são parte desta estratégia. Os ataques vinculados ao DarkSide na Pipeline Colonial (onde foi pago um resgate de US$ 4,5 milhões) e os vinculados ao REvil na JBS Foods (onde foi pago um resgate de US$ 11 milhões) tinham como objetivo este propósito precípuo: os pagamentos de resgate foram feitos para tentar assegurar a rápida restauração e retomada das atividades normais das companhias.
É possível conseguir êxito com trabalho árduo.
Muitos elementos (incluindo sorte) limitam o que pode ser alcançado com um ataque de ransomware. Entre os resultados possíveis estão:
- Os invasores não conseguem avançar o suficiente em uma estrutura organizacional dividida e desistem. Isto pode se dever ao nível sentido de dificuldade ao tentar bem sucedidamente a ação ilegal, ou por que outros alvos que os invasores estão ao mesmo tempo perseguindo são vistos com mais promessa. Pense neste caso como o custo de oportunidade. De qualquer forma, nenhuma compensação é solicitada.
- Os agressores conseguem penetrar em um sistema e acreditam que têm alguma vantagem em pedir um resgate, no entanto, o resgate não é pago. Resultado destes casos são, muitas vezes, danos operacionais ou ainda danos à imagem da empresa, mas, no final, sobrevivência e (de forma positiva) uma maior dedicação à segurança virtual.
- Os agressores obtêm lucro para o pedido de compensação que é tão pequeno para que a vitima possa optar por pagar, pois é mais barato do que realizar a recuperação. Isso também pode ser influenciado pela presença de seguro de segurança cibernética que oferece cobertura para o ransomware.
- Os invasores têm acesso às jóias da coroa e podem, efetivamente, interromper as operações da vítima. Pode-se recorrer ao pagamento de um resgate (Colonial Pipeline, JBS Foods) para que os serviços sejam restaurados num curto espaço de tempo. Por outro lado, se se recusar a pagar (RobbinHood na cidade de Baltimore ou SamSam na cidade de Atlanta), a infraestrutura de TI terá de ser reconstruída do zero.
Comidas para levar são extremamente convenientes.
Você precisa selecionar vários ambientes, considerando as intenções dos agressores que estão tentando alcançar seus objetivos com vazamentos e outras atividades ilegais, e pensar nas respostas que eles teriam com o êxito parcial e total.
- Descubra a amplitude da sua política de segurança da informação, bem como as restrições que ela possui.
- Se se trata de um caso de extorsão, seu segurador cibernético fornecerá alguém para lidar com as conversações de libertação?
- Existe alguma companhia que ofereça serviços de resposta a incidentes no retentor?
- Com que força você desenvolveu o seu planejamento para recuperação de desastres?
Muitas destas questões emergirão de tarefas práticas que o ajudarão a estar melhor preparado se o momento decisivo chegar.
Oliver Tavakoli é o Chefe de Tecnologia na Vectra AI.
Aproveite os insights adicionais da comunidade Infosec Insiders da Threatpost em nosso microsite.
Compartilhe esta publicação.
- Infosec Insider é um portal de notícias sobre tecnologia de segurança da informação que apresenta as últimas tendências e novidades da área.
- Malware é uma forma de programa prejudicial que pode ser aplicado para tirar dados confidenciais.