- Num ano, o número de organizações portuguesas impactadas por ransomware duplicou
- Conheça o REvil, o grupo de cibercriminosos responsável por dezenas de ciberataques à escala global
No seguimento do recente ciberataque à JBS, a maior empresa de processamento de carnes do mundo, a Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, partilha o que sabe sobre o REvil, o grupo de cibercriminosos responsável por paralisar operações nas várias fábricas da empresa espalhadas pelo mundo, desde a Austrália aos EUA. A análise das tendências de ransomware vem firmar a expressão “pandemia de ransomware” tanto a nível global como nacional, com o número de organizações portuguesas impactadas por esta ameaça a duplicar no espaço dum ano.
O que sabemos sobre o Grupo REvil
O REvil é uma das mais proeminentes famílias de ransomware no planeta. Operada pelo grupo russo homónimo, a família de ameaças é responsável por dezenas de falhas de segurança desde 2019. Um dos fatores explicativos do sucesso do grupo REvil é a utilização do ransomware de dupla extorsão, uma técnica em que os agentes maliciosos roubam dados às organizações e, de seguida, encriptam os ficheiros, impedindo o acesso aos mesmos. Significa isto que, para além de exigirem um resgate para desencriptar os dados, os hackers podem ainda ameaçar divulgar a informação extraída, caso o pagamento não seja feito.
O REvil é conhecido ainda por colaborar com outros hackers numa espécie de junção de esforços. Os atacantes são responsáveis por descobrir novos alvos, extrair dados e encriptar redes; por sua vez, o grupo REvil fornece o ransomware, o website de potencial divulgação e tudo o que esteja relacionado com dinheiro: desde a negociação ao pagamento.
Numa escala mais ampla, o grupo anunciou em fevereiro deste ano ter adicionado duas fases ao seu esquema de dupla extorsão – ataques DDoS (Distributed Denial of Service, um tipo de ataque que indisponibiliza os serviços de um dado sistema) e chamadas telefónicas a parceiros de negócio e órgãos de comunicação. O REvil opera como Ransomware-as-a-Service e oferece agora gratuitamente aos seus afiliados estes serviços, a fim de pressionar a vítima a atender às exigências de pagamento.
Mais recentemente, em abril de 2021, o REvil pôs em prática a chamada técnica de tripla extorsão, tendo como alvo a Quanta Computer, um fabricante de computadores parceiro da Apple sediado em Taiwan. No seguimento do ataque, foi pedido um pagamento de 50 milhões de dólares, com o aviso de que a quantia duplicaria caso não fosse cumprido o prazo estipulado. Como a empresa recusou comunicar com os atacantes, estes moveram a extorsão para a Apple, a quem exigiram a compra das plantas dos seus produtos, encontradas na rede da Quanta Computer. Curiosamente, uma semana mais tarde, o grupo REvil removeu os modelos da Apple do website oficial onde expõem os dados extraídos.
Como atua o REvil
Uma publicação de julho de 2019 encontrada num fórum russo divulga algumas das regras que pautam a forma de atuação do grupo REvil, incluindo a noção de que é proibido atacar no âmbito de qualquer país que integre a Commonwealth of Independent States (CIS).
Fonte: Kaspersky |
O atual panorama de ameaças
Em maio deste ano, a Check Point divulgou as mais recentes tendências de ransomware a nível global, revelando que, entre o início de 2020 e o início de 2021, o número de organizações impactadas por ransomware aumentou 102%. Destacaram-se outras conclusões:
- Durante o segundo trimestre de 2021, 1000 organizações foram impactadas por semana por ransomware;
- Os setores mais atacados são a saúde (109 ataques/semana, em média), utilities (59 ataques/semana, em média) e o setor jurídico/legal (14 ataques/semana, em média);
- As regiões mais atacadas (fig. 1) são a APAC (51 ataques/semana, em média), América do Norte (29 ataques/semana, em média) e a Europa (14 ataques/semana, em média).
- Em Portugal, comparando os primeiros cinco meses de 2020 e o mesmo período do ano de 2021, sabe-se que o número de organizações impactadas por ransomware duplicou.
Fig. 1 Média de ataques semanais por organização por região em maio |
“No ano passado, falámos da ‘ciberpandemia’, a denominação que demos à onda de ciberataques que prosseguiria a pandemia do coronavírus. Agora que a vivemos, sabemos que veio em forma de ransomware, estamos a meio de uma ‘pandemia de ransomware’. A nível global, temos vindo a assistir a ataque atrás de ataque, desde o Colonial Pipeline, à JBS e, mais recentemente, a Massachusetts Steamship Authority,” afirma Rui Duro, Country Manager da Check Point Software em Portugal. “Esta é a prova de que o ransomware não discrimina alvos. Receio que tenda a piorar, o ransomware é um grande negócio e é sabido que se ganha bem. Quanto mais organizações pagarem estes resgates, mais financiado será o esforço dos hackers para lançar ataques cada vez mais sofisticados. A técnica de tripla extorsão, onde os hackers ameaçam não só os seus alvos, mas também os respetivos clientes e parceiros, é um bom exemplo disso. É seguro dizer que o ransomware é atualmente uma das maiores ameaças que enfrentamos a nível global”.
Como prevenir um ataque de ransomware
- Mantenha-se a par de todas as patches lançadas, isto é, tenha todos os seus softwares e programas atualizados com a versão mais recente
- Instale uma solução anti-ransomware
- Sensibilize os seus familiares, colegas, equipas para práticas de cibersegurança
- Lembre-se que a instalação não intencional de um malware é, muitas vezes, a porta de entrada para o ransomware
Post A Comment:
0 comments: