A ESET, líder em detecção proativa de ameaças, está analisando grupos de ransomware que estão extremamente ativos na América Latina em 2023, explicando quem são os principais atores e como as empresas e entidades podem se preparar.
Preocupação com Ransomware
Segundo o Relatório de Segurança da ESET, 96% das organizações expressaram preocupação com o ransomware como uma ameaça iminente, com 21% admitindo ter sofrido um ataque desse tipo de malware nos últimos dois anos. Deste grupo, 77% conseguiram recuperar suas informações graças às políticas de backup que possuem, enquanto 4% afirmaram ter pago o resgate. Das organizações pesquisadas, 84% se recusaram a negociar o pagamento do resgate de seus dados.
Desafios Futuros
“Um dos principais desafios a serem enfrentados no futuro próximo será o aumento das campanhas de spear phishing (direcionadas a um alvo específico). Deve-se considerar o aumento dos riscos associados ao maior uso de tecnologias no período pós-pandemia e a necessidade de aumentar o nível de conscientização dos funcionários das empresas em todos os níveis”, comenta David González Cuautle, Pesquisador de Segurança Cibernética da ESET América Latina.
Implementação de Cibersegurança
“A implementação de cibersegurança na América Latina depende do tipo de organização e, de acordo com as pesquisas realizadas no ESET Security Report, existem problemas em que há uma convergência, independentemente do setor: O roubo ou vazamento de informações nas empresas é a maior preocupação, com 66%, e está associado a acessos indevidos aos sistemas, ou seja, o aumento de ataques que visam explorar alguma vulnerabilidade por meio de campanhas de phishing direcionado (spear phishing) ou a instalação de códigos maliciosos como ransomware ou trojans de acesso remoto.”
Grupos de Ransomware Mais Ativos
Os grupos de ransomware mais ativos na região da América Latina até agora neste ano, de acordo com a ESET, são:
SiegedSec
Conhecido por seu lema de assediar a segurança da vítima, daí o seu nome, em inglês “siege”, que pode ser traduzido como assediar ou sitiar. Seu modus operandi é extorquir a vítima a ponto de deixá-la apenas com a opção de pagar pelo resgate de suas informações ou, no pior dos casos, vendê-las em fóruns da Dark web ou Telegram.
ALPHV
Também conhecido como Blackcat; a maneira como esse grupo opera desde sua aparição em novembro de 2021 é por meio do Ransomware-as-a-Service (RaaS, em inglês), pois seus ataques não ocorrem aleatoriamente ou por meio de campanhas de spam, mas sim, seus alvos são determinados pelos associados com os quais contam. Ou seja, eles unem esforços para realizar ataques a alvos já perfilados. Isso faz com que seu modus operandi seja específico para cada caso de uso, assim como as técnicas empregadas durante seus ataques.
Stormous e sua aliança com GhostSec
O grupo Stormous surgiu no meio de 2021. Inicialmente, o grupo, de origem árabe, divulgava ataques aos Estados Unidos por meio de seus canais no Telegram e em fóruns da Dark web. Devido ao conflito Rússia-Ucrânia, seus objetivos foram modificados e, em meados de julho deste ano, anunciaram oficialmente uma parceria com o grupo de hacktivistas GhostSec para atacar não apenas os Estados Unidos, mas também países da América Latina, incluindo o governo de Cuba.
Vice Society
Um dos mais ativos no final de 2022 e início de 2023. A maioria das incidências ocorreu nas indústrias de educação e saúde, mas também há evidências de que outro setor que esse grupo de ransomware está mirando é o setor manufatureiro em países como Brasil, Argentina, Suíça e Israel. Vale ressaltar que eles desenvolveram seu próprio gerador de ransomware personalizado, optando por métodos de criptografia mais robustos, o que indica que o grupo está se preparando para sua própria operação de ransomware como serviço (RaaS).
Recomendações de Segurança
A partir da ESET América Latina, compartilhamos algumas recomendações que podem auxiliar na proteção da informação:
Política para Realizar Backups Periódicos
Isso permitirá que os dados, caso sejam afetados por algum ransomware, possam ser restaurados. De acordo com o ESET Security Report na América Latina, 88% das organizações pesquisadas implementaram essa recomendação.
Política para Atualização e Correções
Ao ter todos os sistemas, aplicativos e dispositivos atualizados, a vulnerabilidade para que os cibercriminosos explorem falhas de software ou protocolos obsoletos é consideravelmente reduzida. No ESET Security Report na América Latina, 45% das organizações afirmaram realizar atualizações de segurança mais de duas vezes por ano, indicando que ainda há muito esforço a ser feito.
Educação e Conscientização
A capacitação contínua de colaboradores em todos os níveis sobre as melhores práticas de segurança e as tendências de vetores de ataque na região são fundamentais para evitar que um cibercriminoso tenha sucesso. Uma área de oportunidade para as organizações, onde muitos dos ataques de ransomware são bem-sucedidos, é a falta de um programa de treinamento e conscientização (apenas 28% dos entrevistados no ESET Security Report da América Latina afirmaram ter esse programa).
Política sobre o Princípio do Mínimo Privilégio
Ao estabelecer apenas os privilégios necessários para que o colaborador possa realizar suas atividades, limita-se a capacidade do ransomware se propagar para outros sistemas ou aplicativos.
Segurança na Rede
Firewalls, segmentação de rede juntamente com regras de acesso e uso de VPN limitam a possibilidade de propagação de qualquer malware.
Plano de Resposta a Incidentes e Continuidade de Negócios
É importante saber como responder a qualquer incidente ou contingência que possa ocorrer na organização, minimizando o impacto nos negócios e garantindo que continuem funcionando. 42% dos entrevistados indicaram que possuem um plano de resposta a incidentes, enquanto 38% não têm um plano de continuidade de negócios.
Soluções de Segurança Avançadas
A implementação de soluções de segurança que detectem e bloqueiem comportamentos anômalos ou suspeitos, como um EDR (Endpoint Detection and Response, em inglês) e soluções antimalware, permitiria a continuidade dos negócios, proporcionando uma vantagem comercial ao conquistar a confiança dos clientes ao saberem que suas informações estão adequadamente protegidas.
Conclusão
Em conclusão, a crescente atividade de ransomware na América Latina em 2023 destaca a necessidade crítica de medidas de segurança robustas e conscientização contínua. A análise da ESET dos grupos de ransomware ativos na região fornece uma visão valiosa das táticas empregadas por esses atores maliciosos, permitindo que as organizações se preparem adequadamente.
A implementação de políticas de backup periódicas, atualizações regulares e correções, educação e conscientização contínua, o princípio do mínimo privilégio, segurança robusta na rede, planos de resposta a incidentes e continuidade de negócios, e o uso de soluções de segurança avançadas são todas estratégias vitais para proteger as informações.
No entanto, é importante notar que a segurança cibernética não é uma solução única. As ameaças evoluem constantemente, assim como as tecnologias usadas para combatê-las. Portanto, é essencial que as organizações mantenham-se atualizadas sobre as últimas tendências e ameaças, e estejam prontas para adaptar suas estratégias de segurança conforme necessário.
Além disso, a colaboração e o compartilhamento de informações entre organizações e instituições de segurança podem desempenhar um papel crucial na luta contra o ransomware. Ao trabalhar juntos, podemos criar um ambiente digital mais seguro para todos.
Finalmente, é importante lembrar que a segurança cibernética não é apenas responsabilidade das organizações. Cada indivíduo tem um papel a desempenhar na proteção de suas próprias informações e na manutenção da segurança de suas interações online. Portanto, a educação e a conscientização sobre segurança cibernética devem se estender além do local de trabalho, para todos os aspectos de nossas vidas digitais.