O que é um ataque de ransomware de extorsão dupla?

Um ataque de ransomware de extorsão dupla é um ataque cibernético no qual os agentes de ameaças exfiltram os dados confidenciais de uma vítima, além de criptografá-los. Isso dá ao criminoso alavancagem adicional para coletar pagamentos de resgate.

Em um ataque de dupla extorsão, um operador de ransomware obtém acesso à rede da vítima usando qualquer um dos vários métodos estabelecidos e vetores de ameaças, como phishing, malware, explorações de vulnerabilidade, força bruta de um servidor RDP ou credenciais roubadas. A operadora então realiza a descoberta de rede para localizar e proteger o acesso a todos os ativos de alto valor de toda a rede e terminais conectados e, em seguida, exfiltra-os para a própria rede de armazenamento da operadora. Depois de se espalhar lateralmente por toda a rede, o agente da ameaça criptografa os dados e exige um resgate. Se o resgate não for pago, os criminosos costumam vender os dados roubados ou publicá-los em blogs públicos e fóruns online.

Sequência de ataque de ransomware de extorsão dupla extorsão

A ameaça em evolução do ransomware de extorsão dupla

O cibercrime continua a evoluir, assim como as técnicas de segurança cibernética projetadas para se defender e minimizar seu impacto. O ransomware existe de alguma forma há décadas, começando com o Trojan AIDS de 1989, ou vírus PC Cyborg. Distribuído através de disquetes, o trojan AIDS orientou suas vítimas a enviar US$ 189 para uma caixa postal no Panamá para recuperar o acesso aos seus sistemas.

Mais de trinta anos depois, o advento das criptomoedas tornou o rastreamento de pagamentos mais difícil para as autoridades, mas as equipes de segurança cibernética melhoraram suas políticas de backup e segurança para ajudar na descriptografia. Em 2019, uma organização criminosa chamada TA2102 usou o ransomware Maze para perpetrar o primeiro ataque de ransomware de extorsão dupla de alto perfil quando se infiltrou na empresa de segurança Allied Universal. Em vez de simplesmente criptografar os dados da empresa, Maze os exfiltrava e ameaçou publicar as informações roubadas online, a menos que a Allied pagasse um resgate de US$ 2,3 milhões em bitcoin. Isso significava que, mesmo que a Allied pudesse restaurar sua rede e dados, eles ainda sofreriam uma violação grave de dados, a menos que pagassem.

Desde então, os incidentes de ransomware de extorsão dupla tornaram-se mais populares e complexos. Somente em 2020, pelo menos 15 famílias de ransomware que usaram a técnica cometeram 1.200 incidentes, resultando em muitos vazamentos de dados de alta visibilidade. Os ataques de ransomware tornaram-se maiores e mais frequentes. As redes de afiliados agora podem comprar variantes de ransomware por meio de “ransomware como serviço” na dark web, além de usar técnicas de alto impacto, como explorar vulnerabilidades na cadeia de suprimentos de software para maximizar seus retornos.

Exemplos recentes de alto nível

Um dos casos de maior destaque de dupla extorsão chegou em maio de 2021 com o ataque ao Oleoduto Colonial, que na época transportava 45% do fornecimento de gasolina e combustível de aviação para a Costa Leste dos EUA. Os invasores da família de ransomware DarkSide roubaram 100 GB de dados, forçando a empresa Colonial Pipeline a pagar cerca de US$ 5 milhões em bitcoin para recuperar o controle e restaurar os serviços. Na mesma época, invasores da gangue de ransomware Conti, com sede na Rússia, atacaram o sistema Executivo de Serviços de Saúde da Irlanda e exigiram um resgate de US$ 20 milhões pelo retorno dos dados do paciente. Mais tarde naquele mesmo mês, a JBS S.A., maior produtora de carne do mundo, foi forçada a encerrar temporariamente as operações quando o grupo de ransomware REvil se infiltrou em sua rede, exfiltrando seus dados e a manteve refém por um resgate de US$ 11 milhões em bitcoin.

Principais famílias de ransomware de dupla extorsão

Desde o final de 2019, as seguintes famílias de ransomware têm sido as mais ativas na execução de ataques de ransomware de dupla extorsão. Vários desses grupos se separaram e mudaram seus nomes após ataques de alto nível:

  • DarkSide
  • Egregor
  • Conti
  • DoppelPaymer / BitPaymer
  • REvil / Sodinokibi
  • Avaddon
  • Ragnar Locker
  • Maze
Proteja-se contra ataques de ransomware de extorsão dupla

Os ataques de ransomware de extorsão dupla são traiçoeiros e caros. Os ataques aumentaram dramaticamente em parte porque as empresas estão dispostas a ceder às exigências de resgate à medida que os criminosos se tornam mais persistentes e agressivos. No entanto, ainda existem medidas que você pode tomar para proteger sua empresa e suas informações.

Adote uma política de segurança de confiança zero

Uma defesa importante contra o acesso de um cibercriminoso à sua rede, especialmente devido ao aumento constante do processamento na nuvem, é adotar uma política de confiança zero ou acesso menos privilegiado. Confiança zero significa que nenhum usuário ou aplicativo deve ser inerentemente confiável. Em vez disso, tudo é considerado hostil até que seja autenticado e autorizado. O acesso é concedido com base na identidade e no contexto do usuário e, mesmo assim, apenas a um conjunto mínimo de recursos.

Uma arquitetura de confiança zero para defesa contra ransomware se baseia em três princípios:

• Minimize a superfície de ataque: torne usuários e aplicativos invisíveis para a Internet, protegendo o acesso por trás de uma troca intermediada baseada em proxy. Se os aplicativos não puderem ser descobertos, não há superfície de ataque para explorar.

• Elimine o movimento lateral: os hackers só podem criptografar ou roubar dados que podem ver. As técnicas de microssegmentação reduzem a exposição dos dados e, portanto, minimizam os danos. Em uma implantação de confiança zero ideal, as organizações usam uma arquitetura baseada em proxy para conectar usuários autenticados diretamente a aplicativos sem nunca expor a rede. As organizações também podem implantar tecnologias de engano para atrair e expor invasores.

• Inspecione totalmente para prevenção eficaz contra ameaças e perda de dados: inspecione todo o tráfego, criptografado e não criptografado, entrando e saindo de sua organização. Isso elimina pontos cegos e maximiza suas chances de manter os invasores afastados e os dados confidenciais.

Mais práticas recomendadas para proteger sua rede

Além de adotar uma filosofia de confiança zero, as equipes de segurança cibernética devem implementar essas políticas para reduzir ainda mais sua superfície de ataque e mitigar a ameaça de ransomware:

• Aplique uma política de segurança consistente para evitar o comprometimento inicial. Com uma força de trabalho distribuída, é importante implementar uma arquitetura SASE (Secure Access Service Edge) que forneça autenticação e aplique uma política de segurança consistente, não importa onde os usuários estejam trabalhando.

• Implante a prevenção de perda de dados em linha. Evite a exfiltração de informações confidenciais com ferramentas e políticas de prevenção de perda de dados baseadas em confiança para impedir técnicas de extorsão dupla.

• Mantenha o software e o treinamento atualizados. Aplique patches de segurança de software e realize treinamentos regulares de conscientização de segurança para reduzir vulnerabilidades que podem ser exploradas por cibercriminosos.

• Tenha um plano de resposta. Prepare-se para o pior com um seguro cibernético, um plano de backup de dados e um plano de resposta como parte de seu programa geral de continuidade de negócios e recuperação de desastres.

Zscaler Zero Trust Exchange

O Zscaler tem a proteção de ransomware mais abrangente do setor para sua rede e nuvem, com proteções em toda a sequência de ataque de ransomware, incluindo comprometimento inicial, movimentação lateral e exfiltração de dados. A Zscaler monitora 200 bilhões de transações por dia durante os períodos de pico em sua plataforma global, bloqueando ameaças e compartilhando inteligência de ameaças com clientes em todo o mundo para facilitar a segurança de confiança zero. Fazemos parceria com os principais provedores de segurança para garantir que você tenha recursos de visibilidade e resposta coordenados em todo o seu ecossistema de segurança.

Fale com um especialista