A Ameaça Ransomware em 2022
Artigo de Felipe Daragon, Roberto Marc e Equipe Syhunt. 8 de fevereiro de 2022
Após os primeiros mega vazamentos de dados no início de 2021 que afetaram milhões de empresas e indivíduos, iniciamos a divisão Syhunt Icy para monitorar a superfície, deep e dark web por novos vazamentos de dados e ameaças cibernéticas. Desde então, trabalhamos em conjunto com parceiros de mídia para informar sobre vazamentos de dados críticos e a necessidade de fortalecer nossa postura de segurança cibernética. Agora, um ano depois, publicamos este primeiro relatório com base na pesquisa realizada pela Syhunt Icy sobre a ameaça ransomware.
Introdução
O ransomware é o tipo de software malicioso mais comum hoje em dia - ele rouba, exclui ou criptografa arquivos em máquinas comprometidas, solicitando posteriormente pagamentos para recuperar esses arquivos ou não os expor na dark web. Mais de 100 variantes de ransomware existem hoje e estão sendo investigadas por pesquisadores e autoridades, incluindo a Europol e o o FBI, que agora considera ataques de ransomware como ciberterrorismo.
As fases de um ataque ransomware: A primeira fase de um ataque de ransomware é a infecção, o grupo procura infectar um dispositivo com seu ransomware. As estatísticas mostram que cerca de 75% das vítimas tinham proteção de endpoint atualizada, o que significa que, embora um antivírus atualizado seja essencial para bloquear variantes de ransomware conhecidas, devido à sua natureza reativa, o software antivírus é praticamente indefeso contra as novas variantes de ransomware criadas pelos grupos[1]. A segunda fase do ataque de ransomware é conhecida como movimento lateral. Após infectar o primeiro dispositivo, o grupo busca roubar o máximo de informações possíveis e assumir o controle de outros dispositivos na rede – isso pode levar horas ou meses. Por fim, o grupo realiza a criptografia de dados em massa, ou exclusão em massa, dos arquivos acessados para exigir o pagamento do resgate. O grupo pode recorrer à dupla extorsão, solicitando pagamento adicional para não publicar as informações em seu "muro da vergonha" na dark web. Nesses casos, o grupo poderá publicar parte da informação como prova de exfiltração ou uma lista dos arquivos que serão publicados caso o pagamento não seja efetuado. No passado recente, o grupo REvil criou um site de leilões semelhante ao eBay para vender os dados roubados de suas vítimas [2]. Em alguns casos, os grupos preferem vender o acesso aos servidores comprometidos em vez de vender diretamente as informações contidas nos servidores.
Cibercriminosos ficando ricos: A Agência da União Europeia para a Cibersegurança (ENISA) disse recentemente que houve um aumento de 150% nos ataques de ransomware entre abril de 2020 e julho de 2021. Segundo a agência, esta é a "era de ouro do ransomware" devido à infinidade de opções de monetização disponíveis para os cibercriminosos [3]. Os grupos de ransomware agora são ricos o suficiente para comprar ferramentas conhecidas como zero-day que podem então usar para fazer mais vítimas[4]. Atualmente, 23% dos incidentes de alta severidade estão relacionados a ransomware[5]. Não é difícil entender o porquê: é um crime cibernético muito lucrativo. Por trás de cada ransomware está um grupo (uma gangue), que costuma ficar rico ilicitamente - sabe-se que cerca de 40% das vítimas pagam o resgate e que cerca de 25% dos executivos de negócios estariam dispostos a pagar entre R$ 100 mil e R$ 250 mil aproximadamente para recuperar o acesso aos dados criptografados[6].
Nossas Análises e Descobertas
| Mais de 150 TB | 2.843 | 31+ |
| Total de dados roubados por grupos de ransomware | Total de Organizações Vítimas | Total de grupos de ransomware |
Ao longo de 2021, mapeamos e investigamos mais de 30 grupos de ransomware na dark web. Desde 2019, esses grupos criaram mais de 100 tipos de ransomware. Também mapeamos e investigamos fontes de vazamentos de dados na superfície e na deep web. Mapeamos quantos dados cada grupo de ransomware roubou e o número de organizações vítimas vazadas por cada grupo e país, bem como a distribuição de vazamentos por camada da web.
Distribuição de vazamentos por camada da Web
- A Superfície da web: hospeda milhares de tópicos de fórum sobre vazamentos de dados que evoluem diariamente. Essas páginas são constantemente indexadas pelo Google e outros motores de busca.
- A Deep web: fora do alcance dos mecanismos de busca, a deep web hospeda tópicos de fóruns de hackers privados que evoluem diariamente. Com muito conteúdo oculto, a Deep Web hospeda milhões de vazamentos de dados, incluindo cerca de 16 bilhões de senhas vazadas e alguns mercados de dados. Identificamos vazamentos relacionados a 58 milhões de domínios da Internet na Deep Web. A deep web, juntamente com o torrent, é a maneira preferida dos hackers para vazar e compartilhar senhas e bancos de dados comprometidos.
- A Dark web: fora do alcance dos mecanismos de pesquisa e navegadores comuns, a dark web hospeda os principais mercados de dados e páginas da web de grupos de ransomware. Mapeamos um total de 2.843 organizações vítimas de ransomware na Dark web. A Syhunt estima que 150 terabytes de dados foram roubados dessas vítimas pelos grupos, tendo sido a maioria dos dados publicados nos "muro da vergonha" criados pelos grupos na Dark Web. Esse número está relacionado a arquivos compactados e descompactados 7Zip, o que significa que o número real de bytes roubados pode ser significativamente maior.
Números por Grupo Ransomware
A Syhunt estima que mais de 150 terabytes de dados foram roubados de organizações vítimas por grupos de ransomware de janeiro de 2019 a janeiro de 2022. Concluímos que alguns dos grupos, como dopple_leaks e grief, preferem fazer um grande número de vítimas, roubando pequenas quantidades de dados de cada alvo e movendo-se rapidamente de um alvo para outro, enquanto outros grupos, como ragnar_locker e pay2key, preferem fazer um número menor de vítimas, roubando maiores quantidades de dados de cada alvo.
| Nome do Grupo | Total de Dados Roubados (150TB) | Total de Organizações Vítimas |
| REvil | 44.1 TB | 282 |
| conti | 22.9 TB | 600 |
| ragnar_locker | 19.6 TB | 29 |
| pay2key | 14.3 TB | 6 |
| lv_blog | 9.3 TB | 42 |
| blackmatter | 8.3 TB | 33 |
| snatch | 6 TB | 29 |
| alphavm | 4.8 TB | 20 |
| lockdata | 4 TB | 7 |
| midas | 3.4 TB | 22 |
| bonaci_group | 3.3 TB | 3 |
| xing_team | 3.1 TB | 19 |
| quantum | 2.9 TB | 9 |
| everest | 2 TB | 49 |
| ransomexx | 1.7 TB | 35 |
| payload_bin | 1.4 TB | 7 |
| babuk | 1 TB | 5 |
| suncrypt | 778.0 GB | 8 |
| arvinclub | 426 GB | 5 |
| dopple_leaks | 399.3 GB | 198 |
| grief | 259.1 GB | 79 |
REvil: Números e lucro de um único grupo de ransomware
| Mais de 44 TB | 282 | 14 |
| Total de dados roubados pelo Grupo em 2020 e 2021 | Total de Organizações Vítimas | Total de membros suspeitos presos em 2022 |
Quando o REvil foi preso em janeiro de 2022, muitos artigos disseram que o grupo roubou um total de 21,6 TB de suas vítimas - esse número é uma estimativa publicada como parte de um artigo da IBM de 2021[7] e relacionado apenas ao período de 2020. O número da Syhunt é muito maior (44.1 TB) porque leva em consideração o desempenho do REvil em 2020 (quando fizeram 138 vítimas) e 2021 (quando fizeram 144 vítimas adicionais).
Em 15 de janeiro de 2022, o Serviço Federal de Segurança da Rússia prendeu 14 membros suspeitos do grupo de ransomware REvil a pedido dos Estados Unidos. Com o grupo foram apreendidos 426 milhões de rublos e € 500.000 (cerca de R$ 31 milhões), além de US$ 600.000 (cerca de R$ 3 milhões) em dinheiro, carteiras de criptomoedas, computadores e 20 carros de luxo.[8]. Ao longo de um ano, quase 35% das organizações vítimas pagaram o resgate exigido pelo REvil e 43% das vítimas tiveram seus dados vazados pelo grupo.
O dinheiro apreendido também é considerado a ponta do iceberg do lucro da REvil. Em novembro de 2021, o Departamento de Justiça dos EUA apreendeu US$ 6,1 milhões (cerca de R$ 32 milhões) em fundos rastreáveis a supostos pagamentos de resgate recebidos por um membro do REvil[9] - o grupo alegou um lucro de mais de US$ 100 milhões (cerca de R$ 532 milhões) [10] e pesquisadores estimaram o lucro em torno de US$123 milhões (cerca de R$ 655 milhões) somente em 2020 [11].
O Grupo Lapsus$: um novo grupo com afirmações irreais
Em 12 de dezembro de 2021, o grupo Lapsus$, um novo grupo de ransomware, alegou ter roubado 50 TB de dados do Ministério da Saúde do Brasil. [12]. Considerando que o experiente grupo REvil roubou 44.1 TB de 280 vítimas em dois anos de operação, não é fácil acreditar que um novato roubou 50 TB de dados de uma única vítima - o grupo ainda não forneceu provas da exfiltração de 50 TB. Até agora, o grupo publicou 580MB de código fonte supostamente roubado da vítima.
Depois de atingir o Ministério da Saúde do Brasil no ano passado, o grupo fez novas vítimas em Portugal neste ano e, como parte de outro ataque recente, afirmou que roubou 10 PB (petabytes) de dados da operadora de telecomunicações Claro Brasil [13], um número que é muito mais irreal do que os 50 TB alegados anteriormente. Não estamos dizendo que o Lapsus$ não deve ser reconhecido como uma ameaça séria - eles derrubaram sistemas do Ministério da Saúde do Brasil por semanas, apenas que os números que o grupo alega não são críveis.
Enquanto a dark web é a camada preferida usada por grupos de ransomware para vazar informações, o grupo Lapsus$ tem usando um canal público do Telegram para anunciar novas vítimas.
Confira abaixo números adicionais levantados pela Syhunt.
As 5 principais extensões de domínio de nível superior atacadas
| Extensão | Total de Organizações Vítimas |
| 1. Empresas (.com) | 1895 |
| 2. Organizações Sem Fins Lucrativos (.org) | 117 |
| 3. Empresas (.net) | 46 |
| 4. Educacionais (.edu) | 29 |
| 5. Governo (.gov) | 17 |
Principais Continentes Atacados
| Região | Total de Organizações Vítimas |
| 1. América do Norte | Mais de 788 (Incluindo EUA), 80 (Sem EUA) |
| 2. Europa | 379 |
| 3. Ásia | 104 |
| 4. Oceania | 60 |
| 5. América do Sul | 59 |
| 6. África | 16 |
Considerando nossos dados relacionados a vítimas de ransomware de janeiro de 2019 a janeiro de 2022:
- Os Estados Unidos da América são o país norte-americano mais atacado por grupos de ransomware, seguido pelo Canadá e México.
- O Reino Unido é o país mais atacado da Europa, seguido pela França, Itália e Alemanha.
- O Brasil é o país mais atacado na América do Sul, seguido pelo Chile.
- O Japão é o país mais atacado na Ásia, seguido pela Índia.
- A Austrália é o país mais atacado na Oceania, seguido pela Nova Zelândia.
- A África do Sul é o país mais atacado na África.
Os 10 principais países atacados
| País | Total de Organizações Vítimas |
| 1. Estados Unidos da América | 708 |
| 2. Reino Unido | 97 |
| 3. França | 56 |
| 4. Canadá | 55 |
| 5. Itália | 55 |
| 6. Alemanha | 51 |
| 7. Austrália | 50 |
| 8. Brasil | 36 |
| 9. Japão | 22 |
| 10. Países Baixos | 14 |
Os 10 principais países atacados na Europa
| País | Total de Organizações Vítimas |
| 1. Reino Unido | 97 |
| 2. França | 56 |
| 3. Itália | 55 |
| 4. Alemanha | 51 |
| 5. Países Baixos | 14 |
| 6. Áustria | 13 |
| 7. Espanha | 13 |
| 8. Bélgica | 12 |
| 9. Suíça | 12 |
| 10. Polônia | 8 |
Os 5 principais países atacados na Ásia
| País | Total de Organizações Vítimas |
| 1. Japão | 22 |
| 2. Índia | 12 |
| 3. Arábia Saudita | 9 |
| 4. Singapura | 6 |
| 5. Emirados Árabes Unidos | 5 |
Os 5 principais países atacados na América do Sul
| País | Total de Organizações Vítimas |
| 1. Brasil | 36 |
| 2. Chile | 10 |
| 3. Colômbia | 5 |
| 4. Peru | 4 |
| 5. Argentina | 1 |
Os 5 principais países atacados na América do Norte
| País | Total de Organizações Vítimas |
| 1. Estados Unidos da América | 708+ |
| 2. Canadá | 55 |
| 3. México | 12 |
| 4. Honduras | 2 |
| 5. Nicarágua | 2 |
Os 5 principais países atacados na África
| País | Total de Organizações Vítimas |
| 1. África do Sul | 10 |
| 2. Marrocos | 2 |
| 3. Angola | 1 |
| 4. Botsuana | 1 |
| 5. Algéria | 1 |
Como conseguimos os números
Os números são baseados em um banco de dados gerado por nosso software com AI Presta combinado com um extenso trabalho de inteligência humana. A Presta é uma bot avançada criada pela Syhunt para automatizar e acelerar a análise de vazamentos de dados de superfície, deep e dark web coletados pela divisão Icy da Syhunt.
Conclusão
Os grupos de ransomware foram ousados o suficiente para roubar grandes quantidades de dados remotamente de um grande número de vítimas e monetizar em cima disso, enviando um forte sinal ao mundo do crime cibernético sobre o quão valiosas as informações corporativas privadas roubadas podem ser hoje em dia - não importa como os dados foram obtidos, apenas que os cibercriminosos podem sempre monetizar em cima de novos dados. Funcionando como catalisador da expansão dos vazamentos de dados, a crescente atividade de ransomware acelerou a criação de um mundo cibercriminoso subterrâneo interligado e altamente lucrativo.
Nossa pesquisa indica que os cibercriminosos e agentes maliciosos agora têm muitos mercados de dados à sua disposição na superfície, deep e dark web, para vender e compartilhar informações que foram obtidas não apenas por meio de ataques de ransomware, mas por meios adicionais, como ataques diretos de Injeção de SQL, ataques que usam zero-day, raspagem da Web ou o uso de insiders maliciosos.
Embora um antivírus atualizado seja essencial para bloquear variantes de ransomware conhecidas, o software antivírus é praticamente indefeso contra as novas variantes de ransomware criadas pelos grupos. Por isso, a defesa contra ransomware e vazamentos de dados em geral deve usar uma abordagem multifacetada que deve incluir, entre outras coisas:
- Software antivírus, sistema operacional e aplicações atualizadas
- Operações de backup regulares, com os backups mantidos offline
- Aumento do uso de criptografia de arquivos e dados confidenciais que devem ser combinados com compartimentação e conteinerização
- Uso de BCrypt com fator 12 ou superior ao fazer hash de senhas
- Uso de autenticação multifator
- Segurança reforçada de aplicações Web
- Monitoramento ativo de vazamentos por meios internos ou externos
- Monitorar a evolução das pontuações de segurança e privacidade relacionadas à organização
- Maior conscientização sobre engenharia social e ataques de phishing
- Validar o remetente dos dispositivos USB enviados por correio. Em 10 de janeiro de 2022, o FBI alertou que o grupo FIN7 está enviando pendrives carregados de malware para empresas, disfarçados de meios legítimos, como Amazon ou agências governamentais.
Sobre a Syhunt Security
Com a tecnologia de auditoria de última geração, a Syhunt estabeleceu-se como uma empresa líder no campo de segurança de aplicações, fornecendo suas ferramentas de auditoria para uma variedade de organizações em todo o mundo, de pequenas e médias empresas a empresas grandes. Os produtos Syhunt ajudam as organizações a se defenderem contra a ampla variedade de ataques cibernéticos sofisticados que ocorrem atualmente na camada de aplicações Web.
O Syhunt detecta proativamente vulnerabilidades e fraquezas que levam ao vazamento ou violação de dados - As ferramentas Syhunt focam nos muitos ângulos e pontos de vista que podem ser usados para avaliar o estado de segurança de um aplicativo da Web, como sua versão em execução (por meio de análise dinâmica / DAST), código-fonte (SAST), log do servidor (forense proativa) e configuração (hardening).
O fundador da Syhunt, Felipe Daragon, começou sua carreira trabalhando como consultor de segurança para organizações governamentais e corporações nos anos 90. No início de sua carreira trabalhou para as principais empresas de segurança da informação no Brasil. Os últimos 22 anos de Daragon no setor de segurança da informação foram dedicados a defender proativamente empresas e agências governamentais de ataques e aumentar a conscientização sobre questões de segurança urgentes e novas tendências de ataques cibernéticos.
Roberto Marc estudou e aprendeu programação junto com Daragon há quase 20 anos e é movido por uma paixão por tecnologia, software, hardware e matemática. Com experiência em ambientes Linux e Windows, Marc ingressou na Syhunt como pesquisador de software e mais tarde se tornou o principal analista de Dark & Deep Web da Syhunt.
A Presta AI é uma bot avançada criada pela Syhunt para automatizar e acelerar a análise de vazamentos de dados de superfície, deep e dark web coletados pela Icy Division da Syhunt.
Referências (Em Inglês)
- Russia's FSB 'shuts down' notorious REvil ransomware gang (TechCrunch, Jan 14, 2022)
- Newly Discovered Lapsus$ Ransomware Targets Several Organizations in a Month (Cyware Social, Jan 04, 2022)
- FBI Investigating 100 Ransomware Variants (Wall Street Journal, Jun 10, 2021)
- 2021 Ransomware Statistics, Data & Trends (PurpleSec, 2022)
- Justice Department Seizes $6.1 million Related to Alleged Ransomware Extortionists (Justice.gov, Nov 8, 2021)
- Inside Genesis: The market created by cybercriminals to make millions selling your digital identity (CBS News, September 2021)
- One in 10 cybersecurity incidents investigated by Kaspersky in organizations are considered severe (Kaspersky, July 2021)
- X-Force Threat Intelligence Index (IBM, 2021)
- REvil ransomware gang claims over $100 million profit in a year (Bleeping Computer, Oct 29, 2020)