Ameaças de Ransomware as a Service (RaaS)

ransomware

O ransomware continua a ser uma ameaça grave para as organizações e a ameaça está crescendo. Os ataques de ransomware estão aumentando e um relatório do Grupo Beazley mostra que os ataques de ransomware aumentaram 25% do quarto trimestre de 2019 ao primeiro trimestre de 2020. O valor monetário do pagamento médio do resgate também aumentou significativamente. Do terceiro trimestre de 2019 ao quarto trimestre de 2019, o pagamento médio do resgate aumentou de $ 41.198 para $ 84.116, um aumento de 104% de acordo com um relatório da Coveware de janeiro de 2020. Além disto, de acordo com um relatório Coveware de abril de 2020, durante o primeiro trimestre de 2020 o pagamento médio do resgate foi de US $ 111.605, o que é um aumento de mais de 33% em relação ao quarto trimestre de 2019. Esta postagem do blog explora a economia por trás do motivo pelo qual o ransomware continua sendo uma ferramenta importante para o crime cibernético e apresenta as atuais variantes ativas de ransomware que utilizam Ransomware como Serviço (RaaS), uma mudança no modelo de negócios que pode levar a um aumento significativo na atividade de ransomware.

Ransomware é um malware que usa criptografia forte para bloquear e tornar inacessíveis os arquivos, fazendo com que a descriptografia seja praticamente impossível sem uma chave ou explorando possíveis falhas de implementação da criptografia. Os ataques de ransomware são amplamente oportunistas e normalmente infectam uma abundância de alvos fáceis na esperança de coletar a maior recompensa financeira. Depois que um invasor usa ransomware para criptografar os dados da vítima, ele envia uma nota de resgate exigindo o pagamento de uma ferramenta de descriptografia afim de recuperar os dados mantidos como reféns. Ao menos que as organizações tenham um plano de contingência para recuperar seus dados, ou os arquivos criptografados não tenham valor, as vítimas acabam pagando o resgate ou perdem seus arquivos. É importante notar que mesmo que as vítimas paguem o resgate, elas podem não recuperar o acesso aos seus dados. O FBI recomenda o não pagamento de resgate aos agressores e o Departamento do Tesouro dos EUA agora está explorando penalidades financeiras para organizações que pagam resgate para recuperar seus dados.

Variantes de Ransomware ativos

Rank + Tipo de Ransomware Quota de mercado % Mudança de posição do Ranking – 2019

1. Sodinokibi 26.7% –

2. Ryuk 19.6% –

3. Phobos 7.8% –

3. Dharma 7.8% +1

5. Mamba 4.8% +4

6. GlobeImposter 4.4% +5

7. Snatch 2.6% +1

8. IEncrypt 2.2% +2

8. 777 2.2% +8

8. MedusaLocker 2.2% +8

Tabela 1 As 10 principais variantes ativas de ransomware no primeiro trimestre de 2020, conforme identificadas no relatório Coveware de abril de 2020.

Das 10 principais variantes ativas de ransomware listadas acima, Sodinokibi, Phobos, Dharma e GlobeImposter são conhecidos por usar o modelo de negócios ransomware como serviço (RaaS), que é explicado no parágrafo abaixo. Na Conferência RSA 2020, o agente especial do FBI Joel DeCapua apresentou uma pesquisa de rastreamento de carteiras de Bitcoin associadas a variantes de ransomware que encontraram vítimas pagando $ 140 milhões em resgates de 2013 a 2019. De acordo com DeCapua, Dharma, Sodinokibi, Phobos e GlobeImposter estão entre as dez primeiras variantes e coletaram $ 24,48 milhões, $ 6,63 milhões, $ 5,30 milhões e $ 3,26 milhões, respectivamente, em pagamentos de resgate. Isso indica que o modelo RaaS é uma estratégia eficaz para coletar resgates. É importante notar que o valor real dos pagamentos recebidos durante os seis anos é provavelmente maior do que o que foi registrado porque o FBI não teve acesso a todas as notas de resgate e carteiras Bitcoin.

O que é Ransomware como serviço (RaaS)?

RaaS

RaaS é um novo modelo de negócios para desenvolvedores de ransomware. Como o software como serviço (SaaS), os desenvolvedores de ransomware vendem ou alugam suas variantes de ransomware para afiliados, que as usam para realizar um ataque. O modelo de negócios RaaS torna o ransomware utilizável por pessoas que não entendem de computador. A Figura 1 abaixo mostra um fluxo de trabalho para um ataque usando uma plataforma RaaS; essa figura é apresentada nos white papers da SEI Ameaças atuais de ransomware e uma estrutura atualizada de defesas contra ransomware. As seguintes etapas ocorrem neste fluxo de trabalho:

1 – O desenvolvedor do ransomware cria um código de exploração personalizado que é então licenciado para um afiliado do ransomware por uma taxa ou participação nos lucros do ataque.

2 – O afiliado atualiza o site de hospedagem com o código de exploração personalizado.

3 – O afiliado identifica e tem como alvo um vetor de infecção e entrega o código de exploração à vítima (por exemplo, por meio de e-mail malicioso).

4 – A vítima clica no link ou vai para o site.

5 – O ransomware é baixado e executado no computador da vítima.

6 – O ransomware criptografa os arquivos da vítima, identifica alvos adicionais na rede, modifica as configurações do sistema para estabelecer persistência, interrompe ou destrói backups de dados e cobre seus rastros.

7 – A vítima recebe uma nota de resgate e é instruída a pagar o resgate com fundos não rastreáveis, normalmente criptomoeda.

8 – Um lavador de dinheiro moverá o dinheiro por meio de várias transformações para obscurecer as identidades do afiliado e desenvolvedor do ransomware.

9 – O afiliado do ransomware pode enviar um descriptografador para a vítima assim que o pagamento do resgate for recebido. O afiliado pode fazer exigências adicionais à vítima ou não fazer nada e deixar a vítima com arquivos criptografados.

Por que o RaaS é importante?

Os pagamentos de resgate estão se tornando mais caros e podemos presumir que a lucratividade do ransomware está aumentando para os invasores. Com o RaaS, o ransomware não está mais limitado aos desenvolvedores que o criam. Os desenvolvedores de ransomware agora vendem seus produtos para afiliados de ransomware que os usam para extorquir organizações. O RaaS diminui o risco para os desenvolvedores de ransomware, pois eles não precisam executar ataques.

Para afiliados do ransomware, o RaaS reduz o custo para realizar ataques, pois eles podem usar ransomware pré-construído. O RaaS expande o cenário de ameaças de ransomware porque os afiliados não precisam mais desenvolver sua própria variante para realizar um ataque e ganhar dinheiro. Para desenvolvedores de ransomware, o RaaS pode ser tão lucrativo quanto pagamentos diretos de resgate, já que os desenvolvedores e afiliados recebem uma porcentagem dos resgates pagos, e o ransomware está afetando mais alvos e ocorrendo com mais frequência.

Um problema persistente

Os ataques de ransomware estão aumentando e o valor monetário dos pagamentos de ransomware está aumentando rapidamente. O modelo de negócios RaaS está ganhando popularidade entre os desenvolvedores de ransomware, conforme indicado pelo número crescente de variantes de ransomware usando o modelo. Este aumento no suporte RaaS cria mais oportunidades para afiliados externos usarem ransomware, expandindo ainda mais o cenário de ameaças para as organizações. No geral, o ransomware continuará sendo um problema no futuro previsível, portanto, é imperativo que as organizações tomem medidas preventivas para se proteger.

Posts Relacionados: NCIJTF lança ficha informativa sobre riscos de Ransomware / 7 passos para ajudar a prevenir e limitar o impacto de um ransomware e Identifique e evite ataques de ransomware

Informações obtidas/adaptadas de https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/