Ransomware em pandemia ou pandemia de ransomware?

Ninguém imaginou o que aconteceria no campo da segurança cibernética durante a pandemia de Covid-19. Talvez alguns colegas tenham sido visionários ou outros tenham se orientado basicamente pelas estatísticas dos últimos anos a respeito de incidentes e violações de segurança, que têm aumentado constantemente. Espero que todos entendam que hoje em dia ninguém está livre de um incidente cibernético.

Um pouco de história

Os primórdios do ransomware não remontam aos anos 2000 como muitos acreditam, mas, já em dezembro de 1989, quando a primeira página da web ainda não havia sido criada, 20.000 disquetes de 5¼» foram enviados de Londres para empresas britânicas e de outros países, aos assinantes da revista PC Business World e também aos participantes de um congresso sobre AIDS organizado pela Organização Mundial da Saúde. No adesivo desses disquetes estava escrito AIDS Information Introductory Diskette (Disquete introdutório de informações sobre a SIDA), que era e afirmava ser da PC Cyborg Corporation. Tudo isso não passou de uma brincadeira, ele criptografou o disco rígido dos computadores e exigiu um resgate. AIDS foi o primeiro ransomware que também se espalhou globalmente: atingiu cerca de 90 países pelo correio postal.

Até hoje, 31 anos se passaram e o ransomware já se tornou uma indústria, com avanços incríveis na área. A pandemia Covid-19 apenas acelerou o desenvolvimento de campanhas de infecção. Os números e incidentes que ocorreram em uma pandemia, ouso dizer, são sem precedentes. O trabalho remoto pode ser uma das causas, já que os controles de segurança cibernética são mais fracos em casa do que no ambiente corporativo, mas principalmente relação com nossa ansiedade e incerteza, o que nos deixa mais «predispostos» a cair em um phishing que contém ransomware. No entanto, esse aumento nos números da região já é evidenciado em diversos estudos desde o ano passado:

O negócio de ransomware

Não muito tempo atrás, o ransomware foi classificado como um incidente (DBIR) e não uma violação, porque a criptografia de dados não envolve necessariamente uma divulgação de confidencialidade. No entanto, isso mudou: o negócio de ransomware não é mais tanto sobre criptografia, mas sim sobre como ganhar dinheiro com a ameaça de exfiltração de informações, e há casos que mostram isso.

No ElevenPaths, monitoramos as várias campanhas de ransomware existentes há anos e as compartilhamos com a comunidade por meio de nossos boletins semanais e relatórios de pesquisa sobre segurança cibernética.

Também o mencionei há um mês, depois de dar muitas entrevistas sobre o incidente no Banco Estado de Chile, supostamente causado por Sodinokibi. Um ransomware que, a partir de ElevenPaths, acompanhamos suas campanhas desde janeiro deste ano.

Por outro lado, os avanços no desenvolvimento de ransomware são evidentes. Por exemplo, o Conti ocupa 32 threads de CPU em paralelo durante o processo de infecção de um computador. Sergio de los Santos escreveu um post altamente recomendado chamado «O que os criminosos da indústria de ransomware recomendam para que você não seja afetado pelo ransomware?» Isso pode ser útil para entender o que está acontecendo nesta nova era.

Por fim, vale destacar a iniciativa hacker voluntária e sem fins lucrativos chamada CTI League (Cyber ​​Threat Intelligence League), uma comunidade global de voluntários de resposta a emergências que defende e neutraliza ameaças e vulnerabilidades de segurança cibernética para os setores que economizam vidas relacionadas à atual pandemia Covid-19, pelo excelente trabalho que têm feito ajudando e evitando que mais instituições de saúde sejam afetadas por esse tipo de ataque cibernético.

Resta apenas uma pergunta: qual será o próximo nível nesta batalha?