Somente dos últimos dois anos até hoje, a SonicWall já detectou um crescimento de mais de 600% em famílias de ransomware. Vimos uma grande variedade de formas de ransomware e vetores de ataque no Relatório Anual de Ameaças 2017, alguns bem-sucedidos e outros nem tanto. Portanto, o que está no núcleo de qualquer ataque bem-sucedido? Se você entender os sete componentes da estratégia de uma campanha de ransomware, poderá se defender melhor de uma das mais perigosas formas de malware da história.
1 – Pesquisa de Alvo Inteligente
Qualquer bom golpista sabe como encontrar as pessoas corretas em uma organização para direcionar a mensagem certeira. Os hackers sabem que organizações municipais e de saúde, por exemplo, são bons alvos.
Embora as organizações forneçam treinamentos de conscientização no mundo online, as pessoas ainda clicam em postagens de mídias sociais e e-mails atraentes. Além disso, os hackers podem acessar qualquer base de dados pública de geração de demanda e encontrar o conjunto certo de vítimas para uma campanha de phishing.
2 – Entrega Efetiva
Atualmente, 65% dos ataques de ransomware acontecem por meio de e-mail. Com isso, um golpista pode facilmente enviar aquele anexo infectado para alguém que possui contas a pagar, alegando que uma fatura não foi paga. Um ataque semelhante derrubou a BWL de Lansing, Michigan, por duas semanas e custou à fornecedora de serviços públicos cerca de US$ 2,4 milhões. Além disso, postagens em mídias sociais que possuem imagens bacanas são ótimas para levar pessoas à sites infectados, representando cerca de 35% dos ataques bem-sucedidos.
3 – Bons Códigos
Como as empresas estão reforçando a sua estratégia de segurança, os cibercriminosos passam a se concentrar nas formas de contornar isso. Primeiro, os hackers agressivos atualizam seu código constantemente para superar as defesas baseadas em assinaturas. Em segundo lugar, o código deve ter várias táticas de evasão incorporadas para “desviar” de defesas avançadas, como sandbox em rede. O código do vírus Cerber é um ótimo exemplo que os criminosos utilizam como base. Os autores de códigos mal-intencionados esperam que o alvo não utilize um sandbox multimotor como o SonicWall Capture Advanced Threat Protection, por exemplo, que é muito mais difícil de evadir. Por fim, o código deve passar de sistema para o sistema, para criar o máximo de estragos possível, aumentando o potencial de recompensa.
4 – Bom Entendimento de Sistemas Infectados
Qualquer hacker experiente sabe o que foi que ele/ela infectou e, assim, pede um resgate apropriado. Os pontos de extremidade (endpoints), como um laptop, por exemplo, valem US$1000 mais ou menos, servidores valem mais mais ou menos US$5000, e infraestruturas críticas podem chegar até centenas de milhares de dólares. Os hackers esperam que seus alvos não possuam redes segmentadas para que, assim, possam infectar vários sistemas em um único ataque. Eles também contam com backups inconsistentes para uma maior taxa de conversão do cliente.
5 – Paciência e Persistência
Para que as organizações se mantenham a salvo de um ataque efetivo, elas devem estar “corretas” o tempo todo. Já para os criminosos, eles devem estar certos apenas uma vez. Embora a conscientização, a segurança e os backups consistentes sejam os ingredientes essenciais para a defesa contra ransomware, eles não são perfeitos. É por isso que os bons hackers continuam tentando, reformulando o código em diferentes mecanismos de entrega e kits de exploração (exploit kits).
6 – Bom Atendimento ao Cliente
As melhores variantes de ransomware possuem bons canais de suporte ao cliente. Os atacantes os usam para negociar com as vítimas e assegurar-lhes que receberão seus dados de volta caso eles efetuem o pagamento.
7 – Bom Gerenciamento de Pagamentos
Embora outras variantes de ransomware já tenham usado outras formas de pagamento, o bitcoin ainda é a mais popular. O Bitcoin é mais fácil de obter e de trocar, de modo que os ataques de ransomware possuem uma taxa de pagamento maior por parte dos consumidores com endpoints infectados. Para diminuir o comprometimento da carteira bitcoin, os hackers alternam o endereço de e-mail associado à uma carteira específica, o que também pressiona as vítimas a pagarem mais rapidamente.
Espero que com esses 7 tópicos seja possível entender o que se passa na mente de um invasor possivelmente visando sua indústria ou organização. Use estas dicas para desenvolver uma boa estratégia anti-ransomware e malware.