Só no primeiro semestre de 2021, o mundo sofreu 3x mais ataques de ransomware do que no ano inteiro de 2019. Para 61% dos executivos de TI, a tendência é que os ataques aumentem mais em 2022.
Os dados são da PwC, uma das maiores multinacionais de consultoria do mundo e a dúvida é: o que justificaria esses aumentos tão significativos?
Crimes cibernéticos estão se tornando, cada vez mais, redes de negócios. Profissionais altamente qualificados e motivados pelos ganhos financeiros estão aderindo a essas redes para, em conjunto, atacar as organizações.
O RaaS ― Ransomware as a Service (ransomware como serviço) ― já é uma realidade e talvez represente a mais perigosa ameaça à segurança da informação em 2022, dado o atual cenário de cibersegurança.
Continue a leitura para conhecê-la e, sobretudo, para saber como se prevenir e proteger sua empresa!
O que é Ransomware as a Service (RaaS)?
Ransomware as a Service é um modelo de negócios que transforma o malware sequestrador de dados em um serviço. Também conhecido como kit de ransomware, é um modelo de comercialização que tem contribuído para a crescente propagação e entrega de ameaças do tipo ransomware.
Os trâmites do RaaS ocorrem entre os operadores de ransomware e os afiliados, sendo esses qualquer pessoa ou organização que pague para que um ataque seja lançado.
Os ataques são relativamente fáceis de serem aplicados pelas chamadas “gangues digitais”:grupos ou rede de negócios especializados em cibercrime.
Além disso, têm baixo custo de operação e facilitam golpes bem-sucedidos a organizações de todos os tamanhos e nichos de negócio. Ou seja, um prato cheio para o cibercriminoso.
O RaaS é vendido em kits que são encontrados na chamada dark web, um ambiente virtual “obscuro” onde são encontradas diversas ofertas de informações e serviços ilegais.
A dark web só é acessada por meio de configurações específicas que garantem o anonimato tanto de quem oferece um algo como o Ransomware as a Service quanto de quem contrata.
Ransomware as a Service (RaaS): como funciona
O Ransomware as a Service busca as mesmas brechas de segurança que o ransomware comum. Em geral, são ataques diferenciados a empresas e organizações governamentais.
Neste modelo, o hacker cria um ransomware e o “revende” para pessoas interessadas, cobrando uma taxa mensal ou recebendo uma parte do lucro (20% a 50%) obtido com os golpes.
Isso significa que trata-se de um modelo de negócio que permite ao criador da ameaça e ao comprador ganharem dinheiro de forma mais rápida.
O comprador não precisa configurar nada. Ele paga por um pacote completo e pode até receber orientações de como obter mais sucesso ao utilizar o ransomware.
Confira na tabela abaixo como se dá o funcionamento dessa ameaça:
| Operadores RaaS | Afiliados RaaS |
| Oferecem o serviço na dark web e até recrutam em fóruns interessados em ganhar dinheiro com o ataque | Pagam pelo serviço e aceitam os termos da oferta |
| Dão aos afiliados acesso a um painel para que estes criem seu próprio ransomware e criam um “comando e controle” dedicado para que o pacote possa ser rastreado | Definem seus alvos e as exigências do resgate, bem como a mensagem que será exibida para as empresas vítimas e executam o ransomware |
| Configuram um canal para que as vítimas paguem o resgate e auxiliam os afiliados na negociação desse resgate | Se comunicam com as vítimas por canais de bate-papo para tentar conseguir o dinheiro exigido pela devolução dos dados comprometidos |
| Gerenciam um site de vazamento dedicado | Gerenciam chaves de descriptografia para garantir que possam entender os dados sensíveis roubados das empresas vítimas |
O maior problema deste tipo de estratégia é que ela facilita o acesso à tecnologia de alto conhecimento técnico. Os ataques geram prejuízos na casa de bilhões de dólares. Nos últimos anos houve um aumento significativo nos ataques.
É importante dizer que o pagamento de resgate não é recomendado caso sua empresa seja vítima de um ataque de Ransomware as a Service ou até de um ransomware comum.
Isso porque não há garantias de que os criminosos vão devolver os dados roubados depois que receberem o dinheiro ― geralmente exigido em criptomoedas.
Ransomware as a Service (RaaS): exemplos
Existem vários exemplos do Ransomware as a Service e selecionamos alguns para apresentar a você. Confira:
DarkSide
O Dark Side é um dos grupos mais famosos de operadores de Ransomware as a Service.
Em maio de 2021, o grupo foi responsável pelo ataque ao sistema de oleoduto americano Colonial Pipeline. O presidente-executivo da empresa declarou que o ataque ocorreu por meio de uma VPN antiga que não tinha autenticação multifator.
REvil
O REvil foi o RaaS responsável pelo ataque sofrido pela Kaseya, uma empresa de TI, e que afetou ao menos 1.500 empresas em julho de 2021.
Também foi atribuído ao grupo o ataque de Ransomware as a Service direcionado a operadora de serviços cibernéticos CNA Financial.
O REvil é supostamente responsável pelo ataque que teve como vítima a JBS americana, situação que levou a organização a pagar um resgate de US$ 11 milhões.
Dharma
Quando surgiu ainda em 2016, o ransomware Dharma era conhecido como CrySis. Depois de diferentes variações ao longo do tempo, a ameaça ganhou destaque como modelo de RaaS em 2020.
LockBit
LockBit surgiu em setembro de 2019 como “.abcd virus”, um arquivo usado pelo grupo para criptografar arquivos de suas vítimas, inviabilizando o acesso à informação.
O LockBit é capaz de se auto propagar dentro da rede da vítima escolhida, o que o torna uma opção de Ransomware as a Service atraente para os interessados em conduzir um ataque.
Ransomware as a Service (RaaS): como prevenir
O Ransomware as a Service vai seguir existindo. O que sua empresa pode fazer a respeito é buscar formas de prevenir danos e ataques. Confira as dicas da Prolinx:
- Backup ― O backup em nuvem não evita um ataque, mas assegura que sua organização não se torne refém dos criminosos.
Por quê? É simples. Com um bom sistema e uma rotina de backup estabelecida, sua empresa sempre terá uma cópia dos dados salva na nuvem.
Assim, se o RaaS entrar em ação, não será preciso se preocupar com a perda definitiva de dados e nem como pagamento de resgate, já que a empresa ainda terá acesso às informações que precisa para operar normalmente.
- Atualizações ― As atualizações são fundamentais para corrigir brechas de segurança que podem ser aproveitadas para o ataque via ransomware.
Os sistemas e aplicações da empresa precisam ser atualizados sempre que uma nova versão estiver disponível e a TI pode estabelecer uma rotina para isso.
Como vimos com base no exemplo do Ransomware as a Service que atacou a Colonial Pipeline, é preciso se atentar a aplicações inativas também.
- Proteção contra phishing ― O e-mail é um dos principais canais para casos de phishing e há soluções que podem evitar que essas ameaças cheguem à caixa de entrada dos colaboradores de sua empresa.
- Firewall ― As soluções mais modernas de firewall são bastante eficazes para barrar ameaças como um Ransomware as a Service, especialmente se bem configurados e aliados à segmentação da rede corporativa.
- Proteção de endpoint ― Esse tipo de solução assegura que sua empresa proteja diferentes gaps;
- Treinamento da sua equipe ― O treinamento faz toda a diferença para que os colaboradores da empresa saibam evitar comportamentos de risco e identificar possíveis ameaças.
Algo que pode diminuir os níveis de vulnerabilidade da organização, bem como o seu tempo de resposta caso uma brecha de segurança ou tentativa de ataque seja identificada.
Ransomware as a Service (RaaS): a nova grande ameaça para os negócios
A “praticidade” do Ransomware as a Service está entre os fatores que fazem do RaaS a nova grande ameaça, uma vez que facilita a concretização de planos que podem ter qualquer empresa como alvo ― inclusive a sua.
Para evitar esse risco, é fundamental seguir as dicas que apresentamos aqui e contar com um serviço especializado em gestão de vulnerabilidades, com o objetivo de eliminar brechas que podem ser aproveitadas para os ataques.
Integrando serviços e produtos, nossa equipe está preparada para dar suporte à sua empresa, usando o Prosec: uma solução exclusiva que funciona como uma central completa de gerenciamento de risco, fazendo o monitoramento de eventos em tempo real.
Se interessou? Saiba mais sobre o Prosec e garanta a proteção que sua empresa precisa contra uma das mais poderosas ameaças virtuais da atualidade!
