A empresa de segurança cibernética Check Point Software aponta as consequências da “roleta” do ransomware no MGM Resorts. O grupo de ransomware ALPHV assumiu publicamente a responsabilidade pelo recente ataque ao MGM Resorts, nos Estados Unidos; pesquisadores da empresa analisam o ataque e listam as principais práticas para evitar ransomware e outros tipos de ataques cibernéticos.
Em um movimento sem precedentes, o grupo de ransomware ALPHV assumiu publicamente a responsabilidade pelo recente ataque ao MGM Resorts, em Las Vegas, nos Estados Unidos, publicando uma declaração em seu site na Dark Web. A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, tem acompanhado o movimento do ALPHV desde seu surgimento no final de 2021 apresentando um levantamento de estatísticas atualizadas sobre o grupo, incluindo a distribuição geográfica de suas vítimas e os setores que visam, além de uma cópia de sua declaração completa.
No último dia 12 de setembro de 2023, o MGM Resorts foi supostamente submetido a um ataque de ransomware que deixou vários sistemas off-line em alguns de seus principais locais em Las Vegas. O ataque deixou os hóspedes trancados pelo lado de fora de seus quartos e incapazes de realizar transações no local e por meio do aplicativo móvel MGM. Eventualmente, os hotéis cassinos afetados tiveram que processar as transações manualmente.
O ALPHV é um dos principais grupos de ameaças RaaS (Ransomware as a Service), responsável por quase 9% de todas as vítimas publicadas nos últimos 12 meses em sites da Dark Web; e, nesse período, o ALPHV publicou a identidade de cerca de 400 das suas vítimas que se recusaram a pagar o resgate. A distribuição geográfica das suas vítimas é típica do ecossistema de ransomware, com mais de metade baseada nos Estados Unidos.
Check Point Software aponta as consequências da “roleta” do ransomware no MGM Resorts
“Este incidente é mais uma prova da tendência crescente de atacantes de ransomware com foco na extorsão de dados e no direcionamento de sistemas operacionais não Windows. O modelo de ransomware como serviço (RaaS) continua a ter muito sucesso, combinando uma forte infraestrutura tecnológica para os ataques, com afiliados experientes e sofisticados que encontram o caminho para penetrar em grandes corporações”, explica Sergey Shykevich, gerente do grupo de Inteligência de Ameaça da Check Point Research (CPR).
“Só podemos especular sobre qual será o seu próximo passo, mas o que sabemos é que grupos organizados como o ALPHV não têm medo de publicar dados se as suas exigências não forem satisfeitas. Independentemente da sua decisão, o MGM Resorts deve manter os hóspedes e visitantes do hotel informados sobre as informações que possam ter sido obtidas. É mais um alerta para todas as organizações verificarem regularmente seus controles de acesso e garantirem que tenham processos de segurança de ponta a ponta em vigor”, ressalta Shykevich.
ALPHV e a ascensão do Mega Ransomware
Como muitos grupos de ransomware estabelecidos, o ALPHV evoluiu para se tornar uma operação bem organizada que realiza ataques em larga escala a empresas de alto perfil. ALPHV (também conhecido como BlackCat) é um ator de ameaça de ransomware como serviço (RaaS) que surgiu no final de 2021. É conhecido por usar a linguagem de programação Rust e tem capacidade para atacar sistemas operacionais baseados em Windows e Linux. O ALPHV é comercializado em fóruns de crimes cibernéticos e opera um programa de afiliados. Algumas afiliadas têm como alvo organizações em diversos setores, incluindo saúde, manufatura e governo. O grupo é conhecido por vazar dados roubados se seus pedidos de resgate não forem atendidos e opera vários blogs Dark Web para essa finalidade.
Conselhos práticos: Prevenção contra ransomware e outros ataques
Num cenário de ferramentas avançadas de cibersegurança, as organizações precisam exercer uma boa higiene de segurança em redes locais, na nuvem, até o conselho de administração. Existem várias ações que os líderes podem tomar para minimizar a exposição e os potenciais impactos de um ataque.
Seguem as principais práticas para manter a segurança:
1.Backup robusto de dados
O objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. No entanto, isso só será eficaz se o alvo realmente perder o acesso aos seus dados. Uma solução de backup de dados robusta e segura é uma forma eficaz de mitigar o impacto de um ataque de ransomware.
2.Treinamento de conscientização cibernética
E-mails de phishing são uma das formas mais populares de disseminação de malware de resgate. Ao enganar um usuário para que ele clique em um link ou abra um anexo malicioso, os cibercriminosos obtêm acesso ao computador do funcionário e iniciam o processo de instalação e execução do ransomware nele. O treinamento frequente de conscientização para a cibersegurança é crucial para proteger a organização contra ransomware, aproveitando o seu próprio pessoal como a primeira linha de defesa para garantir um ambiente protegido.
3.Patches atualizados
Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware, já que esses patches são geralmente ignorados ou adiados por muito tempo para oferecer a proteção necessária.
4.Fortalecer a autenticação do usuário
Aplicar uma política de senha forte, exigir o uso de autenticação de múltiplos fatores e educar os funcionários sobre ataques de phishing projetados para roubar credenciais de login são componentes críticos da estratégia de segurança cibernética de uma organização.
5.Soluções antiransomware
As soluções antiransomware monitoram programas em execução em um computador em busca de comportamentos suspeitos comumente exibidos por ransomware e, se esses comportamentos forem detectados, o programa poderá tomar medidas para interromper a criptografia antes que maiores danos possam ser causados.
6.Utilizar uma melhor prevenção contra ameaças adicionando IA
A maioria dos ataques de ransomware pode ser detectada e resolvida antes que seja tarde demais. A organização precisa ter detecção e prevenção automatizadas de ameaças para maximizar suas chances de proteção, incluindo verificação e monitoramento de e-mails e verificação e monitoramento de atividades de arquivos em busca de arquivos suspeitos. A IA tornou-se uma aliada indispensável na luta contra as ameaças cibernéticas. Ao aumentar a experiência humana e reforçar as medidas de defesa, as soluções de segurança cibernética baseadas em IA proporcionam um escudo robusto contra uma vasta gama de ataques.