A Microsoft publicou a segunda edição do seu relatório Cyber Signals, onde faz uma análise às principais tendências da segurança, com especial foco no ransomware, que este ano já custou muitos milhões ao tecido empresarial e aos governos em todo o mundo, entre pagamentos de resgates, danos de reputação e falhas de serviço.

Como destaca o relatório, nesta como em tantas outras indústrias, quem desenvolve ferramentas de ransomware deixou de usá-las para lançar ataques e terceirizou tarefas, vendendo ou alugando essas ferramentas a quem o faça, ou por um preço fixo pré-estabelecido, ou em troca de parte dos lucros obtidos (afiliados).

Há uma “industrialização do cibercrime”, que especializou os papéis de cada ator. Por exemplo, agentes que apenas se dedicam a vender acesso a redes e outros que intervêm noutras fases de um processo de intrusão que, no caso do ransomware, começa muito antes da tentativa de extorsão. Para ter chances de sucesso, um ataque deste tipo já foi precedido de roubo de dados, ou acesso aos sistemas a um nível capaz de fazer mossa à organização, um percurso que se faz de forma silenciosa.

Microsoft bloqueou mais de 9,6 mil milhões de ameaças de malware e 35,7 mil milhões de emails de phishing
Microsoft bloqueou mais de 9,6 mil milhões de ameaças de malware e 35,7 mil milhões de emails de phishing
Ver artigo

Inversamente proporcional à escala do problema é o número de atores que operam nesta área, onde existe um ecossistema relativamente pequeno e ligado entre si, especializado e consolidado, que fez vingar o ransomware as service como modelo de negócio dominante. Isto tem permitido que um leque mais vasto de criminosos, mesmo sem conhecimentos técnicos avançados, possam ter acesso aos meios necessários para lançar um ataque de ransomware. Os kits RaaS são fáceis de encontrar na dark web e publicitados, da mesma forma que qualquer produto ou serviço é anunciado na internet.

“Tal como qualquer pessoa com um carro pode conduzir para um serviço de rideshare, qualquer pessoa com um computador portátil e um cartão de crédito, disposta a pesquisar [...] por ferramentas de malware na dark web, pode juntar-se a esta economia”, sublinha o relatório.

Estes kits podem incluir um leque cada vez mais vasto de caraterísticas, como ofertas em pacote, serviço de apoio ao cliente, reviews de utilizadores, fóruns, entre outros. Boa parte das campanhas de ransomware têm por base os mesmos programas, que são escolhidos por quem concretiza os ataques em função das ferramentas que integram, ou dos objetivos que permitem alcançar, sendo que cada programa chega a ter dezenas de afiliados, como os próprios autores publicitam junto dos clientes dos seus serviços.

As estratégias de ataque podem ser distintas. Podem partir da utilização de malware para entrar nos sistemas das vítimas e garantir privilégios de acesso, combinando a utilização de software malicioso com ferramentas legais, para extrair dados ou solicitar pagamentos. Podem usar outros métodos. O Lapsus Group, que pode ter sido responsável por alguns dos ataques informáticos mais mediáticos deste ano a grandes empresas em Portugal e a multinacionais como a T-Mobile ou a Microsoft, atua de forma diferente.

Como explica a Microsoft, aqui a estratégia inicial passa por comprar senhas de acesso aos sistemas alvo no mercado negro. Estas senhas são legítimas e pertencem a funcionários da empresa, que já tinham sido vítimas de ataques anteriores. O grupo privilegia ataques a empresas de telecomunicações ou serviços TI, por saber que estas empresas podem ser uma porta de entrada para outras, suas parceiras e com sistemas ligados aos do primeiro alvo.

Como os vários atores deste ecossistema estão altamente ligados entre si, ataques que aparentemente nada têm a ver com outros, podem na verdade tirar partido entre si. Outro exemplo apontado no relatório é o do malware Infostealer, desenhado para roubar passwords e cookies. O que neste caso é um fim, num ataque posterior, com outras ferramentas, será um meio para atingir um novo fim, como mostra precisamente o modus operandi do Lapsus Group.

Ciberataques aumentaram 42% na primeira metade do ano. Ransomware foi a principal ameaça
Ciberataques aumentaram 42% na primeira metade do ano. Ransomware foi a principal ameaça
Ver artigo

O Cyber Signals também regista que, nos últimos tempos, a desativação de alguns programas de grande relevo nesta área do ransomware, como o Conti, fizeram mexer o ecossistema, que se foi reajustando. Muitos afiliados do Ransomware Conti mudaram-se para o LockBit ou Hive, outros passaram a usar vários kits em simultâneo. Para além disso surgiram novos programas, que têm vindo a ocupar o espaço deixado vago pelo Conti, como, o QuantumLocker e o Black Basta.

Este relatório da Microsoft tem por base os conhecimentos recolhidos a partir de 43 mil milhões de alertas de segurança recebidos e dos 8 500 peritos em segurança com quem a empresa trabalha diretamente. Fornece mais alguns dados interessantes, referindo que, em média, um atacante precisa de 1h12m para aceder aos dados pessoais de alguém que “caia” num esquema de phishing e abra a ligação que recebeu num email fraudulento. Já para começar a desenvolver ações em segundo plano, que acabarão por conduzir a um ataque a uma rede empresarial, um atacante só precisará de 1h42, depois de conseguir entrar num dispositivo da empresa.

A Unidade de Crimes Digitais da Microsoft conduziu a remoção de mais de 531 mil ligações (URLs) para sites de phishing e de 5.400 kits de phishing entre julho de 2021 e junho de 2022, que conduziram à identificação e encerramento de 1.400 contas de email maliciosas, usadas para recolher credenciais roubadas.