O ataque à empresa Kaseya demonstra uma combinação desastrosa das tendências de ciberataques mais notórias no decorrer deste ano como ataques à cadeia de suprimentos e ransomware. Alerta é da A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. Segundo a Check Point, no novo aumento observado dos ciberataques, há mais “armas” do tipo estado-nação sendo vazadas de modo a permitir que hackers em potencial realizem ataques sofisticados. Segundo a Check Point, a quinta geração global de ciberataques e ameaças seguem batendo recordes.
“Há muito tempo que temos alertado que organizações de todos os portes estão sendo bombardeadas por uma quinta geração global de ciberameaças (Gen V). Essas são ameaças cibernéticas de múltiplos vetores que podem causar danos catastróficos e irreparáveis à reputação da empresa comprometida. No entanto, a maioria das empresas está protegida apenas contra o que chamamos de ameaças de terceira geração (Gen III), as quais buscam explorar vulnerabilidades em aplicativos. O cibercrime está evoluindo em um ritmo tão vertiginoso que, ficar para trás na proteção pode ter consequências sérias, principalmente quando a segurança está desatualizada”, alerta Claudio Bannwart, diretor regional da Check Point Software Brasil.
Os pesquisadores da Check Point Software observam que o uso de armas cibernéticas ofensivas para apoiar missões nacionais parece ter se expandido. O problema, provavelmente, será agravado por superarmas cibernéticas desenvolvidas por grandes potências. No mundo real, pode-se levar meses ou anos para se preparar para um conflito militar. No mundo online, uma “guerra” pode ser desencadeada em segundos. Uma superarma cibernética é um malware usado contra um estado-nação, causando danos significativos.
Quinta geração global de ciberataques e ameaças seguem batendo recordes
Visto que mesmo pequenos grupos de hackers têm acesso a ameaças muito perigosas, mais cedo ou mais tarde essas armas cibernéticas estratégicas podem ser vazadas pelas grandes potências. Além disso, ameaças e ataques são negociados na Darknet, por exemplo, de modo que o número de cibercriminosos em potencial é ainda maior. Dados personalizados, ameaças e ataques podem ser adquiridos, de modo que os amadores podem causar danos devastadores por algumas dezenas de dólares. Parar a “pandemia” de ataques cibernéticos exigirá cooperação entre governos, empresas de cibersegurança e também organizações.
Em maio de 2021, o número médio de ataques de ransomware por semana no Brasil aumentou em 6 % nos últimos dois meses, em 92 % desde o início de 2021 e em 102 % nos últimos 12 meses. Enquanto globalmente, esses dados referem-se a números médios de ataques de ransomware por semana que cresceram em 20% nos últimos dois meses, em 41% desde o início de 2021 e 93% nos últimos 12 meses.
Na região Américas, referente aos ciberataques em geral, em maio de 2021, aqueles baseados em botnet foram os que mais cresceram, com um aumento de 26% em relação ao início deste ano. Isso foi seguido por infostealers (até 19%), cavalos de Troia (10%) e ransomware (9%).
Outro levantamento interessante é a comparação dos ataques a cada setor. Embora as Américas tenham visto o maior aumento nos ataques a operadoras de telecomunicações (até 51%), a comparação com maio de 2020 parece ainda mais assustadora. Ano após ano, houve um aumento de 70% nos ataques cibernéticos a organizações dos Estados Unidos; fornecedores de software (aumento de 43%) e empresas de consultoria (aumento de 25%) em maio, e as maiores quedas em ataques a fabricantes de hardware (queda de 69%) e no setor de educação / pesquisa (queda de 22%).
Já a região EMEA viu o terceiro maior aumento em ataques a fabricantes de hardware (até 26%). Semelhante às Américas, os fornecedores de software (até 64%) e Utilities (até 46%) viram saltos ainda maiores. Curiosamente, os ataques caíram para empresas no setor de saúde (queda de 13%) e financeiro / bancário (queda de 16%).
Os especialistas da Check Point Software concluem que a detecção de ameaças por si só tem sido insuficiente. Depois que um ataque resultar na invasão a um dispositivo ou à rede corporativa de qualquer forma, já será tarde demais. Portanto, é essencial usar soluções avançadas de prevenção de ameaças que interrompam até mesmo os ataques mais avançados, bem como os de dia zero e ameaças desconhecidas. “O ataque de ransomware que ocorreu neste último domingo, dia 4 de julho, contra a empresa Kaseya, mostra uma combinação desastrosa das tendências de ciberataques mais notórias de 2021 como ataques à cadeia de suprimentos e ransomware”, adverte Bannwart.
Evite ser a próxima vítima de ransomware
- A Kaseya emitiu várias recomendações para seus clientes afetados após o ataque, incluindo conselhos para desligar e permanecer offline até novo aviso. A empresa incluiu algumas recomendações extras de “higiene” de segurança para as organizações permanecerem protegidas contra um próximo ataque:
- Ter mais atenção nos fins de semana e feriados. A maioria dos ataques de ransomware no ano passado ocorreu nos finais de semana ou feriados, quando as organizações tendem a ser menos ágeis para responder a uma ameaça;
- Instalar atualizações e patches regularmente. O WannaCry atingiu fortemente organizações em todo o mundo em maio de 2017, infectando mais de 200 mil computadores em três dias. No entanto, um patch para a vulnerabilidade EternalBlue explorada estava disponível por um mês antes do ataque. Atualizações e correções (patches) precisam ser instaladas imediatamente e ter uma configuração automática;
- Instalar o antiransomware. A proteção antiransomware observa qualquer atividade incomum, como abrir e criptografar um grande número de arquivos e, se algum comportamento suspeito for detectado, pode reagir imediatamente e evitar danos massivos;
- A educação é uma parte essencial da proteção. Muitos ataques cibernéticos começam com um e-mail direcionado que não contém malware, mas usa engenharia social para tentar fazer com que o usuário clique em um link perigoso. A educação e conscientização do usuário é, portanto, uma das partes mais importantes da proteção;
- Os ataques de ransomware não começam com o próprio ransomware, portanto, é preciso tomar cuidado com outros códigos maliciosos, como malwares Trickbot ou Dridex, que se infiltram nas organizações e preparam o terreno para um ataque de ransomware subsequente;
- Fazer backup e arquivar dados é essencial. Se algo der errado, seus dados devem ser recuperados de maneira fácil e rápida. É imperativo fazer backup de forma consistente, inclusive automaticamente nos dispositivos dos funcionários, e não depender deles para se lembrar de ativar o backup por conta própria;
- Limitar o acesso apenas às informações necessárias e ao acesso ao segmento. Se uma empresa deseja minimizar o impacto de um ataque potencialmente bem-sucedido, é importante garantir que os usuários tenham acesso apenas às informações e recursos de que absolutamente precisam para realizar seu trabalho. A segmentação minimiza o risco de ransomware se espalhar incontrolavelmente pela rede. Lidar com as consequências de um ataque de ransomware em um sistema pode ser difícil, mas reparar o dano após um ataque em toda a rede é muito mais árduo.