Estudo da Sophos revela que ransomware continua a ser uma das maiores ameaças às organizações

Já são conhecidas as mais recentes conclusões do estudo anual ‘Threat Report 2023’ da Sophos sobre o atual cenário das ciberameaças. O estudo em causa é composto por investigações da Sophos X-Ops, uma unidade com três equipas de especialistas em cibersegurança que analisam e oferecem uma visão sobre um potencial cenário de ameaças.

O ransomware continua a ser uma das maiores ameaças para as organizações, sendo que tem evoluído ao longo da última década para uma economia de ransomware-as-a-service. Em 2022 o número de ataques deste género expandiu-se, com os cibercriminosos a criarem negócio através da comercialização do cibercrime.

A procura por credenciais roubadas é outra das tendências, acessíveis através de marketplaces criminosos clandestinos que tornam possível a compra de malware, serviços de implementação do mesmo e venda de credenciais e dados roubados.

Entre as tendências, Sean Gallagher, Principal Threat Researcher da Sophos, destaca no último ano “anúncios de operações de segurança como serviço (OPSEC-as-a-service), nos quais os vendedores se oferecem para ajudar os invasores a ocultar infeções do Cobalt Strike; ou de fraude como serviço (scam-as-a-service), que dão aos compradores acesso a ferramentas comerciais legítimas, como o Metasploit, para que possam encontrar e explorar vulnerabilidades”, sendo que “a comoditização de quase todos os componentes do cibercrime está a impactar o cenário de ameaças e a abrir oportunidades para qualquer tipo de atacante, independentemente do seu nível de habilidade”.

Os marketplaces de cibercrime clandestinos têm já equipas de recrutamento e aproximam-se da ‘operação’ das empresas convencionais, onde anunciam também o tipo de serviços disponível.

Sean Gallagher relembra que as primeiras operações ao nível de ransomware eram “centralizadas”. Mas “à medida que o ransomware se começou a tornar extremamente lucrativo, procuraram maneiras de escalar as suas produções, e começaram a fazer outsourcing de partes das suas operações, criando toda uma infraestrutura para dar suporte ao ransomware”, com vários cibercriminosos a seguirem o exemplo, numa área que se tem mostrado lucrativa.

Os grupos associados a este tipo de crime têm trabalhado o potencial de expansão dos serviços de ataque para outras plataformas para além do Windows e adotado novas linguagens de forma a não serem detetados. “Ransomware tornou-se, acima de tudo, um negócio”, considera Sean Gallagher.

O aumento do roubo de credenciais

Para além do aumento do ransomware-as-a-service, o roubo de credenciais tornou-se particularmente aliciante, sendo esta, muitas vezes, uma das formas mais fáceis de os criminosos menos experientes iniciarem-se nos marketplaces clandestinos, com lucros obtidos após a venda dos dados destas mesmas credenciais.

As tendências que levantam preocupações

São várias as tendências que levaram ao incremento do número de ataques de ransomware. A invasão russa da Ucrânia teve repercussões globais ao nível das ciberameaças, com ataques motivados por questões financeiras e alianças criminosas.

Os cibercriminosos têm-se aproveitado também de dispositivos móveis para lançar malware e spyware através de aplicações falsas, assim como o “pig butchering”, em que as vítimas recebem notificações para pagar taxas ou impostos de elevado valor para poderem levantar dinheiro.

Outra das tendências está relacionada com ataques através de “binários living off the land” para explorar ficheiros executáveis legítimos. Os invasores chegam a implementar drivers de sistema legítimos, mas vulneráveis, em ataques “bring your own driver”, para tentar desativar a deteção de endpoints e os produtos de resposta a ameaças, e evitarem ser descobertos.