O crescimento do ransomware direcionado

A Sophos (LSE:SOPH), líder global de segurança na rede e para endpoint, refere que ataques específicos podem excluir empresas de sistemas essenciais ou levar organizações inteiras a uma paralisação total, tal como no recente ataque SamSam.

Todas as empresas são alvo, não apenas as que se destacam mais. Uma investigação recente da Sophos revela que a preferência evidente do SamSam pela saúde e pelos setores do governo era uma ilusão. A maioria das vítimas do SamSam identificadas na investigação eram na verdade no setor privado, mas nenhuma tinha ido a público, enquanto as vítimas do governo e de saúde foram.

Nem todos os ataques são reportados. A maioria dos ataques não é. Os atacantes não se importam se as vítimas são grandes ou pequenas empresas, tudo o que lhes importa é o quão vulneráveis estão. De facto, os três exemplos de ransomware escolhidos pela Sophos são o Dharma, o SamSam e o BitPaymer e podem ser considerados (permitindo sobreposição significativa) como um ransomware dirigido a pequenas, médias e grandes empresas respetivamente.

Os ataques direcionados podem ser relativamente avançados, mas os criminosos por detrás deles não procuram um desafio, procuram organizações vulneráveis. A melhor forma de escapar da lista de alvos de um atacante é realizar corretamente os princípios básicos: bloquear o RDP (Remote Desktop Protocol) e seguir um protocolo de reparação rigoroso para os seus sistemas de operação e as aplicações que funcionam no mesmo.

Se um atacante conseguir entrar na sua rede, certifique-se então de que se deparam com camadas de defesas sobrepostas, uma rede bem segmentada, direitos do utilizador atribuídos de acordo com a necessidade ao invés da facilidade, e assegure-se de que as cópias de segurança estão desconectadas e fora do seu alcance.

Num ataque, um hacker:

Consegue entrar através de uma password RDP (Remote Desktop Protocol) fraca.
Intensificar os seus privilégios até chegar à administração.
Utilizar os seus direitos de acesso para ultrapassar a segurança do software.
Partilha e executa o ransomware que codifica os ficheiros das vítimas.
Deixa uma nota a pedir um pagamento em troca de descodificação dos ficheiros
Espera pelo contacto da vítima através do e-mail ou do site da dark web.

A semelhança entre os ataques e os atacantes não é o resultado de coordenação, mas uma convergência num método que funciona seguramente, compensando os criminosos que utilizam os grandes pagamentos. Essa conciliação chega ao ponto de incluírem detalhes como ofertas especiais: embora os resgates que exigem variem significativamente, os ataques Dharma, SamSam e BitPaumer oferecem às vítimas a oportunidade de descodificar um ou dois ficheiros gratuitamente para demonstrar que o conseguem fazer.

Embora o contorno de cada ataque seja muito semelhante, programado até, o que torna os ataques específicos tão receosos é o facto dos atacantes estarem aptos à adaptação e ao improviso.