No ano passado, houve algum otimismo. Parecia que a maré estava virando para o ransomware depois que o governo dos EUA obteve algumas vitórias contra cibercriminosos realizando esses ataques cada vez mais prejudiciais: o Departamento de Justiça apreendeu com sucesso $ 2.3 milhões em bitcoins que a Colonial Pipeline pagou à gangue de ransomware DarkSide para recuperar seus dados. , e meses depois desempenhou um papel na queda da notória gangue de ransomware REvil.
Esse otimismo durou pouco. Apesar dessa ação, parece que 2022 ultrapassará o ano passado como o pior ano registrado para ataques de ransomware; um recente denunciar mostra que os ataques aumentaram 80% ano a ano e que os cibercriminosos responsáveis por esses ataques escaparam facilmente das ações de aplicação da lei, aproveitando o ransomware como serviço ou simplesmente renomeando.
"Está claro que os ataques de ransomware estão aumentando", diz Matthew Prince, CEO da Cloudflare. "Em setembro de 2022, quase um em cada quatro entrevistados em nossa pesquisa com clientes relatou ter recebido um ataque ou ameaça de ransomware, o mês mais alto até agora em 2022."
O pior ano de ataques de ransomware
2022 não foi apenas o pior ano para ataques de ransomware estatisticamente, mas também o pior em geral. Enquanto os hackers se concentraram no ano passado em infraestrutura crítica e serviços financeiros, o foco deste ano foi nas organizações onde eles podem infligir mais danos.
Em um ataque ao Distrito Escolar Unificado de Los Angeles, hackers da Vice Society vazaram um tesouro de 500 gigabytes de dados confidenciais, incluindo relatórios de condenações anteriores e avaliações psicológicas de alunos, enquanto um ataque ao provedor de serviços de TI Advanced deixou o NHS do Reino Unido em dificuldades. foi forçado a cancelar compromissos e os funcionários passaram a fazer anotações com lápis e papel.
Talvez o ataque mais devastador de 2022 tenha ocorrido apenas algumas semanas atrás, depois que os invasores violaram a gigante australiana de seguros de saúde Medibank e acessaram aproximadamente 9,7 milhões de dados pessoais de clientes e dados de reivindicações de saúde de quase meio milhão de clientes. Os dados roubados durante o ataque incluíam arquivos confidenciais relacionados a abortos e doenças relacionadas ao álcool.
Esses ataques não mostram apenas que o ransomware está piorando. Eles também mostram que o ransomware é um problema global e uma ação global é necessária para combatê-lo com sucesso. No início de novembro, o governo dos EUA começou a se mover na direção certa, anunciando que estabeleceria uma Força-Tarefa Internacional de Ransomware, ou ICRTF, para promover o compartilhamento de informações e capacidades.
“Este é um problema global, então os governos precisam se unir”, diz Camellia Chan, CEO e fundadora da empresa de segurança cibernética X-PHY. “Dito isto, a colaboração por si só não fornecerá uma solução. É mais do que assinar um acordo."
Os tanques de combustível podem ser vistos no Colonial Pipeline Baltimore Delivery em Baltimore, Maryland, em 10 de maio de 2021. O governo dos EUA declarou uma emergência regional em 9 de maio de 2021, pois o sistema de oleodutos da maior empresa de óleo combustível dos EUA permaneceu em grande parte fechado , dois dias após um ataque de ransomware.
Essa é uma visão compartilhada pela comunidade de segurança cibernética: assinar acordos e compartilhar informações é muito bom, mas é improvável que dissuada os cibercriminosos motivados financeiramente que continuam a colher os frutos desses ataques.
Para ganhar terreno contra os cibercriminosos que continuam obtendo uma alta taxa de sucesso, os governos precisam de uma nova abordagem.
Mais cooperação dos governos
"Você não pode parar o problema", diz Morgan Wright, principal consultor de segurança do SentinelOne. “Existem inúmeros exemplos de atores criminosos transnacionais de ransomware e atores de estados-nação sendo identificados e acusados de vários crimes. Esses criminosos quase sempre vivem em países que não possuem um tratado de extradição com o país que emitiu as acusações”.
“Uma área em que gostaria de ver mais esforço é na área de coleta de inteligência humana”, acrescentou Wright. “Precisamos de mais penetração de atores estatais e organizações criminosas. Muitas vezes, o ransomware é visto como uma falha. Não é. É a ganância humana que usa a tecnologia para atingir um objetivo final.”
Esse elemento de ganância também pode ser objeto de regulamentação adicional do mercado de criptomoedas, que muitos acreditam que pode estar no horizonte. após o recente colapso do FTX. O ex-diretor assistente da CISA, Bob Kolasky, disse que, para desencorajar definitivamente os agentes de ransomware, os governos precisam reduzir os instrumentos financeiros disponíveis para seu uso.
“Isso inclui o uso de pressão regulatória no mercado de criptomoedas para facilitar o rastreamento e a recuperação de pagamentos de ransomware”, diz Kolasky, uma visão compartilhada por outros.
“Precisamos que os governos desempenhem um papel maior no bloqueio da criptomoeda, que é o facilitador das estratégias de monetização dos invasores”, concorda David Warburton, diretor da empresa de rede F5 Labs, observando: “Embora moedas descentralizadas como bitcoin não sejam inerentemente ruins, nem são eles são os únicos responsáveis pela epidemia de ransomware que estamos enfrentando, não há como negar que eles são um grande fator.”
“Embora o controle e a regulamentação de certa forma derrotem a intenção original das moedas descentralizadas, não há como escapar do fato de que, sem o Bitcoin, o ransomware simplesmente não existiria”, disse Warburton.
Mas a legislação não funcionaria a menos que fosse um esforço global, acrescentou: “Muitos grupos de ransomware operam em países que não têm motivação para ajudar aqueles que estão sendo atacados”.
Este é um problema que, como o próprio ransomware, foi exacerbado pela invasão russa da Ucrânia, que encerrou qualquer cooperação entre a Europa, os EUA e a Rússia em operações de ransomware dentro da Rússia. Jason Steer, diretor de segurança da informação da gigante de inteligência de ameaças Recorded Future, disse que esta é uma área que precisa imediatamente de mais apoio do governo global.
“O foco diminuiu significativamente em 2022 devido às atividades da Rússia, de onde, de fato, muitos grupos operam com segurança”, disse Steer.
Mesmo que os governos unam forças para combater de forma colaborativa o crescente problema do ransomware, é improvável que tenha um efeito imediato. Os especialistas em segurança não esperam uma suspensão do ransomware à medida que entramos em 2023, à medida que hackers cada vez mais qualificados exploram novos vetores de ataque e continuam a colher as recompensas financeiras.
“Existem governos que estão trabalhando para fornecer mais apoio e recursos. Mas nunca será o suficiente”, diz Wright. "Os maus atores sempre terão vantagem, mas devemos fazê-los pagar significativamente cada vez que um ataque é lançado."
