A ascensão do modelo de ransomware-como-serviço pode ser apontada, sem dúvidas, como uma das maiores preocupações do ano passado; esse tipo de ataque deve continuar em alta, junto com invasões de dispositivos IoT e exploração de brechas na nuvem.
Agora que podemos olhar com calma para 2021 e analisar de forma metódica tudo o que aconteceu em segurança cibernética ao longo do ano passado, podemos concluir que foram meses de muita apreensão para os profissionais do setor. Todos nós sabemos que o crime cibernético evolui rapidamente, mas seu crescimento nesse período de tempo foi ainda maior do que o normal, sendo possível observar a adoção massiva de novas técnicas, vetores de ataque e até mesmo “modelos de negócio” altamente lucrativos para os membros de sindicatos criminais organizados.
O principal deles, é claro, são os ransomwares. De acordo com estatísticas da International Data Corporation (IDC), pelo menos 37% das empresas (globalmente falando) foram vítimas de um ataque de sequestro de dados em 2021. A situação se tornou tão preocupante que até mesmo os órgãos governamentais começaram a discutir sobre o assunto. Nos EUA, o Departamento Federal de Investigação (FBI), a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) e a Agência de Segurança Nacional (NSA) observaram ataques contra 16 infraestruturas críticas do país.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK) também emitiu um alerta público a respeito dos perigos do ransomware, observando que tal ameaça afetou, em sua região, principalmente alvos dos setores de educação, saúde, organizações sem fins lucrativos e serviços públicos. As duas nações, junto com a Austrália, formaram até uma espécie de aliança estratégica para disseminar conhecimento técnico a respeito das melhores formas de se evitar e reagir a uma infecção por tais malwares.
Sequestros aprimorados
No modelo ransomware-como-serviço (ransomware-as-a-service ou RaaS), os desenvolvedores do código malicioso “licenciam” seu uso para terceiros que querem efetuar ataques cibernéticos, mas não conseguiriam fazê-lo por si só. Desta forma, eles utilizam uma ferramenta pronta para alvejar organizações e compartilham uma porcentagem dos lucros com os “peixes grandes” do sindicato. Entre as gangues mais notórias de RaaS que foram bastante ativas em 2021, podemos citar a REvil/Sodinokibi, a Conti, a LockBit 2.0, a BlackMatter, a Ryuk, a Netwalker e a DarkSide.
Mas o perigo não reside apenas no modelo RaaS em si, mas também na forma como esses grupos organizados encontraram de invadir sistemas computadorizados, ganhar acesso persistente e extorquir dinheiro. De acordo com a aliança EUA-Austrália-Reino Unido, os três principais vetores de infecção em 2021 foram, em ordem decrescente, emails de phishing, exploração de instalações vulneráveis do Microsoft Remote Desktop Protocols (invasão via credenciais fracas ou roubadas) e exploração de vulnerabilidades em softwares diversos, especialmente aquelas do tipo “zero day” (desconhecidas até então).
Também vale a pena ressaltar que os criminosos estão focando bastante na nuvem. Com o conhecimento de que muitas empresas estão migrando para infraestruturas em cloud para desfrutar de maior flexibilidade e poder computacional, os atores maliciosos estão focados em explorar vulnerabilidades ou configurações errôneas em aplicações em nuvem, máquinas virtuais e softwares de orquestração. Porém, às vezes, os dois vetores de ataque são combinados e primeiro o criminoso ganha acesso à infraestrutura on-premise (local) através dos métodos descritos anteriormente para só então se elevar à nuvem.
E para 2022?
Infelizmente, para 2022, as previsões são de que esse tipo de ataque se torne ainda mais comum — especialmente com o aumento das tensões de guerras cibernéticas e a pressão de entidades governamentais em relação às atividades cibernéticas patrocinadas por estados. A frequência, a intensidade e a complexidade dos ransomwares e das táticas de invasão de infraestrutura devem aumentar, o que vai exigir uma constante atualização de conhecimentos técnicos por parte dos profissionais da área; algo desafiador, especialmente se nos lembrarmos do apagão de talentos que existe no setor e afeta praticamente todos os países do mundo (incluindo o Brasil).
Outra previsão é o aumento dos ataques na cadeia de suprimentos de softwares. Os criminosos perceberam, com alguns casos bastante emblemáticos de 2021 (como Kaseya e SolarWinds), que é muito mais fácil “envenenar a fonte” do que atacar o alvo final. Isso significa focar seus esforços em fornecedores de softwares e de soluções de TI, tal como no envenenamento de repositórios open source. Dessa forma, eles conseguem acesso a uma grande quantia de vítimas simultaneamente, podendo focar seus próximos passos apenas naquelas que realmente lhe interessam financeiramente ou estrategicamente falando.
Junto com segurança de ambientes cloud, proteger dispositivos de Internet das Coisas (IoT) também será um “must-have” para 2022. A adoção de gadgets conectados é crescente, mas tais são as suas vulnerabilidades e fraquezas, sendo difíceis de gerenciar enquanto ativos conectados à sua rede e/ou sistemas críticos. Esse tipo de dispositivo aumenta bastante a superfície de ataque, servindo como mais uma porta de entrada para que os criminosos cibernéticos realizem manobras de escalada de privilégios e atinjam alvos que você mal pode imaginar.
Por fim, a velha engenharia social nunca deixará de ser um perigo omnipresente. Campanhas de phishing continuam e continuarão sendo uma grave ameaça e um vetor de infecção altamente eficiente, aproveitando-se de assuntos em voga e de amplo interesse do usuário comum. Nesse ponto, programas de conscientização em segurança da informação que visam condicionar hábitos seguros de seus colaboradores continuam sendo bem-vindos, eliminando aquele antigo bordão de que o ser humano é o elo mais fraco da segurança da informação.
–
A Agility oferece uma solução completa de Gestão de Ameaças Cibernéticas, saiba mais em: https://somosagility.com.br/xaas/gestao-avancada-de-ameacas/