[Artigo] Grupo de Ransomware operando como empresa?! Conheça o novo método dos atacantes

Nos últimos anos, as ondas de ataques de ransomware têm atingido empresas ao redor do globo. Estes ataques causam um grande impacto econômico às nações e não demonstram sinais de que vão parar tão brevemente.

Nos últimos anos, as ondas de ataques de ransomware têm atingido empresas ao redor do globo. Estes ataques causam um grande impacto econômico às nações, e eles não demonstram sinais de que vão parar tão brevemente.

De acordo com a o Departamento do Tesouro dos Estados Unidos, o Ransomware têm causado prejuízos milionários todos os meses e as organizações de ransomware estão a cada dia mais agressivas. Há confirmação de evoluções no comportamento e métodos de grupos criminosos operando os malwares tipo ransomware como serviços em um modelo de negócios como se fosse uma empresa de tecnologia. É sobre isso que trataremos neste post.

Um grupo, chamado FIN7, têm atraído bastante atenção por sua maneira de operar, havendo relatos de que eles buscam contratar profissionais que tenham acesso a redes para fazerem parte desse “negócio” criminoso como parceiros. Eles operam naturalmente, como se fossem uma empresa de tecnologia, utilizando-se de recursos similares às grandes companhias do Vale do Silício, permitindo operar um software as a service, em larga escala e bons lucros, porém agindo fora da lei.

A origem deste grupo

O grupo FIN7 está estabelecido há alguns anos. Eles começaram tendo como alvo agências de cartões de crédito, roubando dados de cartões corporativos e em seguida vendendo essas informações. De início, essa forma de operar foi bem lucrativa para o grupo, sendo especulado que eles foram responsáveis por mais de US$ 3 bilhões em prejuízos durante esse período.

Logo em seguida, a indústria se adaptou e o roubo de cartões de crédito diminuiu, graças aos esforços de profissionais das área de Cibersegurança e Segurança da Informação no desenvolvimento de novas tecnologias. Agora sem seu principal “ganha pão”, o grupo FIN7 fez o que a maioria das empresas costumam fazer, ele se adaptou. Essa adaptação trilhou o caminho da ameaça mais popular e recente, o ransomware.

Se auto intitulando “Operadores de Ransomware”, o grupo começou sua caminhada nesse mais novo território das ameaças cibernéticas.

Como a popularidade do Ransomware se alavancou

Um ransomware nada mais é do que um malware que sequestra informações e dados, onde o proprietário dos dados é impedido de acessá-los, a não ser que paguem um resgate. Assim, os criminosos tentam forçar um pagamento da vítima pelo resgate de suas informações, muitas vezes usando criptomoedas e métodos de difícil rastreabilidade. Isto é bem definido no próprio nome “Ransomware”, onde a tradução da palavra “ransom” significa resgate.

Você pode conferir mais a fundo detalhes sobre o que é um ransomware acessando alguns de nossos posts abaixo:

Como age um ransomware e como evitá-lo

SegInfocast #80 – Ransomware: um dos principais problemas da Segurança Cibernética

5 dicas para prevenir e mitigar ataques de ransomware

Nos últimos anos, com a adaptação e melhoria na segurança das indústrias de cartões de pagamento, restaram poucas opções para os atacantes, eis que surge essa nova oportunidade chamada ransomware, uma forma de ataque pouco conhecida até então.

Enxergando esta brecha nas empresas, os grupos de atacantes agiram rapidamente para ganharem o máximo de vantagem possível nesta nova competição. Suas vítimas agora não se limitavam a apenas alguns setores, como os de pagamento de cartões de crédito e débito. Um novo leque de opções se abriu para que os criminosos pudessem roubar informações de diversos tipos de empresas e organizações. Não havia mais restrições de qual setor de indústria atacar, ou qual tipo de informação sequestrar. As vítimas variavam de instituições de saúde (incluindo governamentais), grandes cadeias de fast food, e até mesmo pequenos comércios. Todos, sem exceção agora fazem parte da lista de alvos desses criminosos.

Rapidamente o ransomware ganhou reconhecimento e se tornou a principal ameaça cibernética atual.

Como estes grupos de ransomware operam

Nos últimos anos, as ondas de ataques de ransomware têm atingido empresas ao redor do globo. Estes ataques causam um grande impacto econômico às nações, e eles não demonstram sinais de que vão parar tão brevemente.

Definir exatamente como um grupo desse tipo atua é quase impossível, porém, de acordo com relatos de profissionais e promotores de justiça dos EUA, no caso do grupo FIN7, eles desenvolveram um ransomware próprio, o qual inicialmente era operado exclusivamente por eles. Mas com o passar do tempo eles resolveram divulgar sua criação como se fosse um produto, um software criminoso que era distribuído a quem houvesse interesse.

Sua distribuição foi feita sob o codinome “DarkSide”, e agora outros grupos de atacantes podiam aproveitar as vantagens oferecidas pelo ransomware DarkSide. Já o grupo FIN7, suposto criador deste ransomware, conseguiria se beneficiar de seu uso tirando uma porcentagem do lucro de cada ataque para si.

Com o crescimento da demanda por esse software malicioso, o FIN7 notou a necessidade de aprimorar suas estruturas e práticas, e a partir deste ponto começou a busca no recrutamento de profissionais de tecnologia, incluindo administradores de redes, gestores de TI, programadores e desenvolvedores de software, engenheiros e até mesmo especialistas em Cibersegurança. O foco deles é tentar convencer e cooptar essas pessoas que possuem grau de acesso privilegiado para entrar no crime e compartilhar os possíveis lucros. O alvo é o ser humano!

Mas eles não podem recrutar essas pessoas apenas dizendo para virem e participarem simplesmente dos ataques. Eles sabem que precisam de mais gente para operar seus softwares maliciosos e, consequentemente, de novos métodos de recrutamento. Eles utilizam foruns na DarkWeb para trocar informações sigilosas entre os criminosos, e criando métodos de captação de pessoas, incluindo propaganda de divulgação abertamente na Internet vagas de trabalho em supostas empresas de tecnologia, onde os processos de contratação são bem incomuns e levantam suspeitas de sua licitude. Neles não se tem contato pessoal com nenhum profissional, seja do RH ou outro departamento. As comunicações são realizadas por troca de mensagens criptografadas, e as tarefas a serem realizadas são de instalação de softwares de modo remoto em supostos clientes, mas na realizadade estão realizando atividades criminosas.

Medidas de retaliação ao Crime Cibernético

As medidas de retaliação ao crime sempre existiram e existirão. E, em relação ao Ransomware e os grupos atacantes que se utilizam deste malware, têm sido cada vez mais frequentes. Podemos ver iniciativas em diversos setores para melhorar a segurança e criar mais barreiras, bem como nações criando métodos para busca e identificação dos criminosos para que possam ser responsabilizados pelas ações ilegais.

Veja alguns posts referentes:

Casa Branca organiza Reunião Transnacional para discutir Ransomware

OTAN sinaliza que levará em consideração resposta militar a ciberataques

G7 faz apelo à Rússia para reprimir gangues de ransomware

NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware

Governo Americano oferece recompensa de US$ 10 milhões para quem relatar informações sobre o grupo FIN7 e o ransomware Darkside

Nos últimos anos, as ondas de ataques de ransomware têm atingido empresas ao redor do globo. Estes ataques causam um grande impacto econômico às nações e não demonstram sinais de que vão parar tão brevemente.

A saber, nos EUA, o FBI está oferecendo recompensa de 10 milhões de dólares por informações sobre o grupo FIN7 e sobre o ransomware DarkSide em mais uma tentativa de combater ataques de extorsão cibernética. O grupo com sede na Rússia, estaria ligado ao ciberataque que forçou o fechamento do maior oleoduto no leste dos Estados Unidos em maio – Colonial Pipeline. Washington também ofereceu uma recompensa de 5 milhões de dólares por informações que levem à prisão ou condenação, em qualquer país, daqueles que tentaram se aliar ao ransomware DarkSide para a realização de qualquer ataque.

Confira o anúncio oficial do Governo Americano neste link: www.state.gov

Considerações

É impressionante como grupos de ransomware estão se passando por “empresas de Tech”, fornecendo softwares “confiáveis” para ataques, criando um branding de marca e confiança para o crime, realizando recrutamento aberto e lucrando alto com as operações criminosas. Como visto na reportagem, nos EUA chegam a fazer receita de USD 100 milhões/mês com sequestro de dados e resgates.

Essa maneira de operar parece muito com empresas de Tecnologia, o que pode “enganar” certas pessoas com a ilusão do ganho financeiro rápido e fácil. Mas os reais profissionais e pessoas de bem devem estar vigilantes para não serem cooptados por esses criminosos e acabar fazendo parte de uma estrutura ilegal.

Toda esta questão deve ser vista não como um combate à este tipo de ferramenta ilegal em si, mas como um conflito entre indivíduos, onde criminosos tentam sempre buscar um jeito de ganhar vantagem acima das demais pessoas.

Profissionais de tecnologia e Segurança da Informação – estejam alertas!

Fonte: podcasts.apple.com com adaptações.