Ocorrências de Ransomware ocorrem quando a equipe de Segurança está dormindo, revela estudo

Relatório ThreatDown 2024: Malwarebytes revela tendências de ransomware, mostrando que mais ataques ocorrem à noite quando os funcionários da segurança estão fora de serviço.

Os atacantes estão aproveitando-se do momento em que os profissionais da segurança estão fora de serviço para planejar seus ataques de ransomware, revelou uma pesquisa recente. O relatório “ThreatDown 2024 – Estado dos Ransomware” da Malwarebytes revelou que a maioria dos incidentes nos últimos 12 meses ocorreu entre as 1h e as 5h da manhã.

Os pesquisadores utilizaram dados do time de detecção gerenciada e resposta (MDR) da ThreatDown para realizar sua pesquisa. Eles identificaram que os ataques globais de ransomware aumentaram em 33% nos últimos 12 meses, com os países mais alvo sendo os que registraram maiores crescimentos. O Reino Unido experimentou um aumento de 67% nos ataques conhecidos e EUA teve uma alta de 63%.

Número de ataques de ransomware por país, de julho de 2022 a junho de 2023 e de julho de 2023 a junho de 2024. Imagem: Malwarebytes

“A pergunta que faço às organizações é: ‘Você tem alguém preparado para parar um ataque às 2 horas da madrugada em um domingo com sua pilha de tecnologia existente e recursos de pessoal?’”, disse Chris Kissel, vice-presidente sênior de pesquisa do grupo de produtos de segurança e confiabilidade do IDC.

Eles podem ter uma ferramenta para capturar o alerta na manhã de segunda-feira, mas nesse momento será tarde demais. Os atacantes estão trabalhando rápido para comprometer as redes, baixar dados e implantar ransomware.”

Marcin Kleczynski, fundador e CEO da Malwarebytes, adicionou: “As gangues de ransomware têm tempo e motivação a seu favor. Eles evoluem constantemente para responder às últimas tecnologias que estão em sua trilha.

“Vimos isso muito claramente nos últimos 12 meses, como a adoção ampla de tecnologias como EDR ajudou a identificar os atacantes antes de eles lançarem malware, impulsionando as gangues de ransomware a trabalhar mais rapidamente e investir mais esforço em se esconder. As organizações e MSPs precisam de apoio adicional e cobertura contínua para superar os criminosos atuais.”

Grupos de ransomware menores estão se tornando mais ativos

A proporção de ataques de ransomware realizados por gangues menores fora dos 15 grupos mais ativos aumentou de 25% para 31% no último ano. Isso indica que a execução de ataques de ransomware está se tornando mais acessível para atacantes menos experientes.

Porcentagem de ataques de ransomware por grupo, de julho de 2022 a junho de 2023 e de julho de 2023 a junho de 2024. Imagem: Malwarebytes

Em janeiro de 2024, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido alertou que a ameaça de ransomware iria aumentar ainda mais devido à nova disponibilidade de tecnologias de inteligência artificial (IA), que estão diminuindo a barreira de entrada. Por exemplo, analistas da Google Cloud disseram que a inteligência artificial pode ser utilizada em centros de atendimento que realizam negociações de ransomware.

O relatório da Malwarebytes também encontrou que a proporção de ataques de ransomware que o grupo dominante LockBit reivindicou responsabilidade diminuiu de 26% para 20% nos últimos 12 meses, apesar de ter realizado mais ataques individuais.

A hegemonia do LockBit pode ter sido afetada

Em fevereiro, a Divisão de Cibersegurança da Agência Nacional do Crime (UK NCA), o FBI e parceiros internacionais conseguiram cortar acesso ao site do grupo, que havia sido utilizado como um grande lojista de ransomware-as-a-service. No entanto, alguns dias depois, o grupo retomou suas operações em um endereço da Dark Web diferente e continua a reivindicar responsabilidade por ataques globais de ransomware.

ALPHV, o segundo grupo mais ativo de ransomware, também criou uma vaga após um ataque cibernético mal executado contra a Change Healthcare em fevereiro. O grupo não pagou à sua afiliada sua porcentagem da rescisão milionária, então a afiliada os denunciou, levando ALPHV a fingir um sequestro por parte de agentes policiais e parar suas operações.

Principais setores alvos de ransomware nos EUA e no mundo em 2024

O ransomware é uma ameaça crescente em todo o mundo, com o número de empresas atacadas aumentando 27% em 2023 e os pagamentos superando $1 bilhão (£790 milhões) pela primeira vez. Globalmente, os custos causados pelo dano do ransomware estão previstos para ultrapassar $265 bilhões por 2031.

De acordo com o relatório da Malwarebytes, a indústria de serviços é a maior afetada, respondendo por quase um quarto dos ataques globais de ransomware. Comprometer a infraestrutura crítica pode levar à uma grande interrupção, tornando-o alvo principal para ransomware.

Porcentagem de ataques de ransomware por setor de julho de 2022 a junho de 2023 e de julho de 2023 a junho de 2024. Imagem: Malwarebytes

Em maio, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e outras autoridades internacionais de segurança cibernética, incluindo o FBI, emitiram um alerta sobre ataques cibernéticos que visam fornecedores de tecnologia operacional. O aviso foi emitido em virtude da “continuada atividade cibercrime mal-intencionada” contra empresas de água, energia, alimentos e agricultura entre 2022 e abril de 2024.

O relatório também encontrou que, embora os EUA sejam responsáveis por quase metade dos ataques de ransomware em todo o mundo, eles são alvo de 60% dos ataques globais no setor educacional e 71% dos ataques no setor de saúde.

Isso pode estar relacionado ao sistema de saúde altamente privatizado e portanto rico do país, bem como às instituições de ensino superior e as regulamentações rígidas, como HIPAA e FERPA, que pressionam as organizações a pagar o resgate para evitar multas.

O setor manufatureiro global registrou um aumento de 71% nos ataques de ransomware em comparação ao ano anterior, correspondendo à maior despesa com software no setor.

“Portanto, a explicação mais provável é que o número de alvos disponíveis no setor de manufatura aumentou nos últimos dois anos, talvez devido à crescente digitalização dentro do setor”, escreveram os autores.

Número de ataques de ransomware a empresas de manufatura de julho de 2022 a junho de 2024. Imagem: Malwarebytes

Mudanças táticas de ataques de ransomware em 2024

O time MDR da ThreatDown observou um aumento no uso de técnicas de “vida fora da terra” por gangs de ransomware, como LockBit, Akira e Medusa. A “vida fora da terra” é o uso de ferramentas e software legítimos e pré-instalados dentro do ambiente alvo durante um ataque para ajudar a evitar detecção.

Isso pode reduzir a complexidade geral do malware, permitindo que o atacante armazene recursos existentes que já foram testados em termos de segurança pela organização, além de tornar mais desafiador a detecção e prevenção. O relatório M-Trends 2024 da empresa Mandiant (subsidiária do Google) também observou um aumento nos ataques de “vida fora da terra” em maio.

O relatório M-Trends também encontrou que o tempo médio de residência — o período no qual os atacantes permanecem indetectados dentro do ambiente alvo — das organizações globais caiu de 16 dias em 2022 para 10 dias em 2023.

O relatório da Malwarebytes indica essa linha de tempo mais rápida de ataque também, com dados de respostas a incidentes da ThreatDown mostrando que toda a cadeia de ataques de ransomware, desde o acesso inicial até a criptografia de dados, foi reduzido de semanas para horas.

Fonte: https://www.techrepublic.com/article/ransomware-trends-malwarebytes/
Autor: Fiona Jackson
Tradução: Llama3

Onde nos encontrar

Rua João XXIII 2599 – Horizontina – RS – Brasil – CEP 98920-000

+55 55 9.9988.4872

comercial@datasenior.com

Onde nos encontrar