A ascensão do ransomware de dupla extorsão

Publicados: 2022-01-11

Durante anos, as empresas tiveram que enfrentar a ameaça de ataques de ransomware. Hacks lucrativos provocam estragos nas funções diárias de trabalho de uma organização, desligando dispositivos e roubando informações particulares e particulares. Em resposta, o know-how tecnológico e os sistemas de prevenção avançam, mas também os meios utilizados pelos criminosos. Os últimos doze meses notaram um aumento notável na seleção desses ataques, como atacantes oportunistas pegando carona nos ambientes de estabilidade enfraquecidos da operação híbrida. 30-7 por cento das empresas das ilhas britânicas relataram um incidente de violação de fatos ao Gabinete do Comissário de Dados (ICO) este ano.

Melhorar as abordagens e o reconhecimento de segurança cibernética obrigou os invasores a evoluir seus procedimentos, crescendo em novos territórios de empresas que estão tornando seus passos mais difíceis de regular. As motivações dos cibercriminosos também estão mudando, passando de manter negócios para obter resgate por dinheiro, causando interrupções tão significativas quanto prováveis, por fatores políticos, como desligamentos em grande escala de serviços especializados significativos da vida cotidiana.

Anteriormente, neste ano civil, vimos uma paralisação em produtos e serviços para a Colonial Pipeline nos EUA, graças a um ataque de ransomware que pressionou a empresa privada a desembolsar US $ 5 milhões em Bitcoin para recuperar a regularidade e manter as soluções. No mesmo mês, o governo de serviços de saúde da Irlanda foi colocado sob estresse para entregar um custo de resgate de US $ 20 milhões em compra para ajudar a salvar as informações de seus pacientes ao público. Mesmo depois de um acordo foi projetado, 520 informações ainda chegaram à fraca internet, destacando ainda mais a imprevisibilidade dos criminosos.

A evolução dos ataques de ransomware veio significativamente nos últimos anos. Agora, em vez de criptografar informações e manter o proprietário em resgate, o ransomware de extorsão dupla envolve o invasor que exfiltra as informações primeiro e torna os backups de dados padronizados e os projetos de restauração de dados desatualizados para forçar os empresários. Os criminosos identificaram um caminho diferente para a extorsão e as empresas querem estar preparadas para vencer esse novo perigo.

O que é ransomware de extorsão dupla e quão real é o risco?

O ransomware de dupla extorsão possibilita que os criminosos não apenas exijam dos clientes um resgate pelos dados roubados, mas também o usem como uma promessa falsa para impedir que sejam divulgados publicamente. Se o resgate não for pago no prazo exigido, os criminosos o publicarão para que todos vejam, juntamente com prováveis concorrentes.

Eles ameaçam uma campanha de marketing de “nome e vergonha” da comunidade e/ou cliente se você nunca pagar e, de acordo com a pesquisa da Emisoft, o número de cibercriminosos que adotam a tática “nome e vergonha” está se expandindo. A pesquisa descobriu que dos 100.101 relatórios obtidos de ataques de ransomware a empresas e órgãos do setor comunitário, 11,6% dessas pessoas foram por equipes que roubam e publicam dados em ataques no estilo “nome e vergonha”.

Há também um desenvolvimento no crimeware-as-a-service por atores do estado-nação, que estão cada vez mais introduzindo tensões geopolíticas. Os países-estados estão comprando equipamentos e serviços especializados da dark web, enquanto os instrumentos desenvolvidos pelos estados-nações também estão ganhando espaço na indústria negra.

Então, como as corporações podem superar esse risco crescente?

Dobre o perigo, dobre a preparação da restauração necessária

Para um invasor ser lucrativo em extorquir um resgate, eles devem começar com a certeza de que a recuperação de detalhes úteis é impossível, em qualquer outro caso, eles correm a chance de os tomadores de decisão não conseguirem desembolsar. Assim, eles desabilitam ou arruínam os backups, construindo-os com extrema dificuldade para recuperar quaisquer detalhes úteis. Então, eles convertem seus braços para os detalhes de fabricação lá fora.

Ao estabelecer uma estratégia focada de gerenciamento de informações comprometidas, as empresas estão prontas para aumentar suas chances e tornar a recuperação de detalhes comprometidos cibernéticos muito mais possível em comparação com se estivessem usando uma abordagem padronizada de restauração de detalhes. As necessidades de ransomware não foram maiores e preparar um grupo precisa repensar os planos de restauração de dados existentes.

Para enfrentar essas dificuldades recorrentes, as empresas precisarão de estratégia para os cinco métodos mais importantes para recuperar informações danificadas:

Reconhecer ― Descobrir e justificar os Pertencimentos de Informações Vitais (VDA) da organização. Esta é a informação que precisa de um grau extra de segurança. É as organizações devem ter detalhes.
Seguro — Recursos para aumentar as chances de você ter detalhes recentes completamente limpos para restaurar, por exemplo, uma duplicata à prova de falhas protegida contra um ataque cibernético.
Detectar ― Descobrir vulnerabilidades de pontos fracos em seus controles que podem maximizar o risco da organização de obter seus VDAs.
Reagir — Os planos, os procedimentos, as estratégias a serem seguidas após uma festa comprometedora de detalhes lucrativa.
Melhore ―Os ensaios, avaliações e rotinas que preparam as equipes para essa eventualidade.

Montando um plano eficiente

Todas as empresas correm o risco de ataques de ransomware. O cenário de perigo em rápida modificação colocou as ferramentas de detecção atuais em questão. Eles não são mais um meio de sucesso para combater todos os assaltos e evitar grandes declínios. Colocando de lado os atores de ameaças externas, todas as empresas estão competindo com a possibilidade de ameaças internas também, com possíveis funcionários insatisfeitos obtendo acesso privilegiado ao interior da comunidade e informações. O ensino de segurança cibernética ocorreu aos trancos e barrancos nos últimos anos, mas o erro humano continua sendo um grande risco para as empresas, principalmente para indivíduos que funcionam em ambientes híbridos.

No final, cabe a cada empresa individual para aparecer no quadro geral e, com base principalmente em seus próprios fatores de visão, definir um sistema de recuperação de dados no local. A importância de um ataque clássico de ransomware simplesmente não pode ser subestimada, mas as armadilhas associadas às novas táticas são inegavelmente muito mais importantes para as pequenas empresas. A reputação de marca destruída e a crença danificada do comprador geralmente podem ser irreparáveis. Antes de permitir que criminosos oportunistas escolham manter uma empresa, os líderes de pequenas empresas precisam acelerar a organização completa no protocolo e trabalhar com cuidado com a administração do governo sobre quais dados devem ser a precedência durante toda a missão de restauração. Nesta fase, as organizações podem começar a sentir que seus dados, pertences e infraestruturas permanecerão intactos mesmo em meio à adversidade.

Chris Huggett, vice-presidente sênior da EMEA, Provedores de Disponibilidade Sungard