Ataques de ransomware e aos servidores Microsoft Exchange crescem de forma assustadora

de que sites maliciosos do grupo de ransomware REvil estavam fora do ar.
ransomware

Desde o início da pandemia e a chegada de atividades virtuais, os ataques de ransomware e aos servidores Microsoft Exchange crescem de forma assustadora. É o que comprova a mais recente pesquisa da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd. Ela adverte para os surtos globais de ataques de ransomware que se têm verificado e do cada vez maior número de ataques que procuram explorar as vulnerabilidades dos servidores Microsoft Exchange.

A revelação destes dados coincide com o alerta dado pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, bem como com a detecção de pelo menos dois grupos que fazem uso destas vulnerabilidades para propagar ransomware. O primeiro deles, BlackKingdom, é um grupo de ransomware e o segundo grupo, ainda desconhecido, tem procurado implementar uma nova cadeia de malware chamada DearCry.

Ocorrências globais em ransomware

  • Aumento de 57% nos ataques de ransomware a organizações no mundo que a CPR rastreou nos últimos seis meses;
  • Desde o início de 2021, o número de organizações no mundo impactadas por ataques de ransomware tem crescido 9% por mês;
  • Nos últimos seis meses, houve um aumento geral no número de ataques envolvendo ransomware operado por pessoas, como Maze e Ryuk;
  • No total, 3.868 organizações foram afetadas no mundo.

Entre os países nos quais se verifica o maior número de tentativas de ataque por ransomware constam os Estados Unidos (12%), Israel (8%) e a Índia (7%). No Brasil, o porcentual de tentativas de ataques de ransomware é de 3%, posicionando o país entre os dez mais atacados.

Fig. 1 Tentativas de ataque de ransomware por país


De acordo com a CPR, os setores mais visados foram o público/Governo e militar (18%), a indústria/manufatura (11%) e o setor financeiro/bancário (8%).

Fig. 2 Tentativas de ataque ransomware por setor


Ciberataques a servidores Microsoft Exchange aumentam exponencialmente

Ataques de ransomware e aos servidores Microsoft Exchange crescem de forma assustadora
Imagem: geralt | Pixabay.

A Check Point Research detectou as seguintes tendências e dados sobre os ciberataques que têm como alvo os servidores Microsoft Exchange:

  • Na última semana, o número de ataques relacionados com as vulnerabilidades dos servidores Microsoft Exchange triplicou;
  • São mais de 50 mil tentativas de ataque aos servidores Microsoft Exchange documentadas pela CPR;
  • Os setores mais visados são o público/Governo e militar, a indústria/manufatura e o setor financeiro/bancário.

Países Top 5: Os Estados Unidos são o país mais afetado, com 49% de todas as tentativas de ataque, seguidos pelo Reino Unido (5%), Países Baixos (4%), Alemanha (4%) e o Brasil (2%).

Fig. 3 Porcentagem de ciberataques aos servidores Microsoft Exchange das organizações por país

O retorno do ransomware WannaCry

O WannaCry está em alta novamente. É um ransomware que se espalhou rapidamente por várias redes de computadores em maio de 2017. Depois de infectar computadores Windows, este ransomware é capaz de encriptar arquivos no disco rígido do PC, tornando-os impossíveis de serem acessados pelos usuários. Para reverter o ataque, é feito um pedido de resgate para que seja pago em criptomoeda Bitcoin. A Check Point Research detectou as seguintes tendências e dados em torno do WannaCry com base nas organizações que a equipe de pesquisadores rastreia:

  • Desde o início deste ano, o número de organizações afetadas pelo WannaCry aumentou 53% em nível global;
  • Em março de 2021, o número de organizações afetadas é 40 vezes superior ao registrado em outubro do ano passado;
  • As novas amostras do ataque continuam a ter por base a exploração do EternalBlue para propagação.
Fig. 4 Número de ataques do WannaCry nos últimos 6 meses


Duas tendências ocorrem ao mesmo tempo. Primeiro, os ciberataques que visam os servidores Microsoft Exchange aumentam acentuadamente. A segunda tendência refere-se aos ataques de ransomware que estão em constante crescimento. Não conseguimos ainda determinar se as duas tendências estão diretamente relacionadas, mas há razões para preocupação, destaca Lotem Finkelsteen, chefe de inteligência cibernética da Check Point.

Acreditamos que as vulnerabilidades do Microsoft Exchange são uma porta de entrada para o interior das organizações. A Check Point Research está alertando o mercado, como fez a agência CISA. Apelamos às organizações para agirem agora, antes que os grupos de ataque de ransomware tornem as explorações do Exchange populares. No cibercrime, raramente vemos atividades que demonstrem um crescimento constante, que se ajustem rapidamente a fatores de mudança ou que sejam capazes de adotar em pouco tempo novas tecnologias. O ransomware é um desses raros casos, conclui Finkelsteen.

Recomendações de proteção às organizações contra os ataques de ransomware

  • Backup de dados. Uma das tarefas de segurança mais importantes é a realização regular de backup de dados corporativos. Assim, na eventualidade de algo ruim acontecer, a empresa terá sempre a oportunidade de reverter rápida e facilmente os seus dados para uma versão anterior;
  • Softwares atualizados. Os atacantes de ransomware encontram, por vezes, um ponto de entrada dentro dos aplicativos e softwares, a partir da capitalização de vulnerabilidades. O lado bom é que alguns desenvolvedores procuram ativamente por novas vulnerabilidades e as corrigem;
  • Mecanismos de detecção de ameaças. A maioria dos ataques de ransomware podem ser detectados e resolvidos antes que seja demasiado tarde. Para maximizar as suas hipóteses de proteção, as empresas devem contar com ferramentas de detecção automática de ameaças para os recursos corporativos;
  • Autenticação de múltiplos fatores. A autenticação de múltiplos fatores força os usuários a verificar as suas identidades de várias formas antes de ser concedido acesso a eles para um sistema. Desta forma, se um funcionário fornecer por engano a sua senha a um cibercriminoso, este não conseguirá obter acesso fácil aos seus sistemas;
  • Monitoramento e verificação de e-mails e de atividade de arquivos. Os e-mails são um dos mais comuns meios através dos quais os cibercriminosos executam esquemas de phishing. É preciso dedicar alguma atenção à verificação e monitoramento de e-mails de forma contínua e considerar a implementação de uma solução automatizada de segurança para evitar potenciais e-mails maliciosos de chegarem aos usuários;
  • Princípio do menor privilégio (PoLP). Os funcionários nunca devem ter mais acesso aos dados do que realmente precisam. Segmentar sua organização e restringir o acesso pode fornecer uma espécie de efeito de quarentena, minimizando o impacto de um ataque potencial e limitando os vetores de acesso.
  • Aprimorar o treinamento dos funcionários. A maioria dos ataques de ransomware é resultado de maus hábitos dos funcionários ou puro desconhecimento. Alguém pode fornecer voluntariamente sua senha ou pode baixar um arquivo desconhecido para seu dispositivo de trabalho. Com um melhor treinamento dos funcionários, as chances de isso acontecer são muito menores;
  • Não pagar o resgate. Se a organização for vítima de um ataque de ransomware, recomenda-se não pagar o resgate! Pode parecer tentador sair dessa situação ruim o mais rápido possível, mas, mesmo depois de pagar o resgate, não há garantia de que o atacante cumprirá com sua palavra.

Os dados contidos nesta análise e levantamento da Check Point foram detectados pelas tecnologias de prevenção de ameaças da Check Point, armazenados e analisados no ThreatCloud. O centro ThreatCloud fornece inteligência contra ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em Inteligência Artificial e dados de pesquisa exclusivos da Check Point Research (CPR).