Impactos do ataque de ransomware de dupla extorsão em empresas e mitigação

o ataque de ransomware está presente há algum tempo e os especialistas em segurança o combatem substancialmente. eles forneceram métodos para diminuir a prevalência deste ataque sobre pessoas físicas e jurídicas. No entanto, as técnicas dos agentes maliciosos também estão evoluindo no mesmo ritmo para continuar causando danos.

Em 2019, o mundo experimentou um novo método de ataque de ransomware - dupla extorsão. O ataque, que foi por um grupo malicioso- O labirinto , teve como alvo a Allied Universal, uma empresa de segurança. 10% dos dados roubados da empresa de segurança foram posteriormente tornados públicos como um aviso dos agentes de ameaça por não conformidade. O grupo Maze também exigiu $ 3,5 milhões como resgate, ou eles vazariam os 90% restantes dos dados.

2020 também viu grupos maliciosos como REvil, Ragnar-locker e Lock bit se juntando ao Maze para participar da exploração bem-sucedida e devastadora de empresas. Já, mais do que 1200 empresas foram vítimas dessa tática, que custou cerca de US$ 20 bilhões em 2021 e está projetado para custar US$ 265 bilhões até 2031. Uma das empresas era a Cognizant, uma grande provedora de serviços de TI. A empresa perdeu cerca de 70 milhões de dólares americanos para o ataque , um dos mais letais da história.

O que é ataque de ransomware de dupla extorsão

Em um ataque de ransomware de dupla extorsão, atores mal-intencionados obtêm acesso não autorizado a uma rede para extrair e criptografar dados na esperança de um pagamento de resgate. Ao contrário do mero ataque de ransomware, esse método diminui o efeito dos dados de backup. Os invasores agora aproveitam os dados extraídos para pressionar as vítimas. Eles podem chegar a publicar os dados ou vendê-los a um concorrente, caso a vítima se recuse a obedecer.

Extorsão dupla com resultados imperdoáveis quando executada com sucesso. As vítimas enfrentam perdas financeiras para agentes de ameaças ou conformidade e desfiguração pública.

Em 2022, esse procedimento de ataque ainda está em alta. De acordo com Relatório Zscaler Threatlabz , o setor de saúde teve um aumento de dupla extorsão em 650%, enquanto o de alimentação em 450%. Além disso, outros setores são vulneráveis a esse ataque, e o número continua alto com o envolvimento do RAAS.

Como funciona o ataque de ransomware de dupla extorsão

O ataque de ransomware de dupla extorsão começa como um ataque passivo que se transforma em um ataque ativo devastador, como criptografia de dados e DDOS. A sequência desses ataques começa com um processo onde o atacante tem que ter acesso ao sistema da empresa através de quaisquer vetores de ataque.

Os vetores de ataque podem ser engenharia social ou programação, que incluem phishing, força bruta em servidores de desktop remoto, malware, exploração de vulnerabilidades, etc.

Depois que o ator obtém acesso ao sistema, ele realiza um ataque de reconhecimento por meio de movimento lateral. Nesse estágio, ainda é um ataque passivo porque o ator está se passando pelo usuário original para escapar da detecção e obter informações valiosas para seu possível ataque.

Quando o agente mal-intencionado reúne dados valiosos, ele exfiltra os dados e implanta o código malicioso, que criptografa os dados.

Impacto do ataque de ransomware de dupla extorsão nas empresas

O Grupo IB, em seu relatório, Tendência de crimes de alta tecnologia 2021/2022 , afirmou que o ataque de ransomware de dupla extorsão teve um aumento de cerca de 935% nos danos. O impacto desses danos nas empresas afetadas pode ser enorme, dependendo do seu porte. Mais ainda, o prazo para a recuperação dessas empresas depende da rapidez com que respondem e da profundidade do ataque.

Desfiguração da marca

As empresas correm o risco de desfigurar a marca devido a vazamentos de dados e DDOS. A Travelex, agência de viagens, viu sua reputação ir por água abaixo no ataque REvil na véspera de ano novo de 2019.

Depois de interromper seus serviços, o que deixou os clientes presos, a REvil também ameaçou publicar dados exfiltrados se a empresa se recusasse a pagar o resgate. O ataque de ransomware de dupla extorsão aqui foi devastador porque, mesmo que a Travelex obedecesse para restaurar os serviços e evitar vazamentos de dados, a quebra de confidencialidade e o DDOS prejudicaram sua reputação.

Perda de fundos

As empresas dependem de dados de backup para evitar a perda de muitos fundos para eventos de ransomware. No entanto, as chances de que isso ainda seja muito eficaz são baixas no caso de dupla extorsão.

Os invasores agora utilizam dados exfiltrados; as empresas hackeadas serão obrigadas a pagar o resgate, no valor de milhões de dólares, ou ter suas informações confidenciais vazadas para o domínio público. Com dados valiosos dessas empresas expostos ao público, elas podem acumular pesadas multas de conformidade, como aconteceu com Equifax em 2017 .

Mais ainda, as empresas que não cedem às demandas correm o risco de perder o valor de seus estoques quando são vendidas a descoberto. De acordo com a assessoria da divisão cibernética do FBI, Notificação da indústria privada , esse método foi introduzido em 2020 por um membro do Revil Ransomware em um fórum de hackers. E os invasores estão usando incansavelmente esses meios para facilitar a extorsão. Conseqüentemente, as organizações estão fadadas a perder grandes fundos quando experimentam essa forma de ataque.

Vulnerabilidade de terceiros associados

Como os invasores têm acesso completo a uma rede corporativa, eles podem escalar seu acesso a dados de parceiros e consumidores. Com isso, os agentes de ameaças podem exfiltrar esses dados e exigir resgate de parceiros ou consumidores.

Um exemplo desse evento ocorreu no caso de os hackers Vastaamo- Os pacientes cujos dados foram acessados precisavam pagar um resgate. Outro foi o evento onde REvil alertou a Apple Inc. para pagar um resgate de 50 milhões de dólares. Foi difícil para a Apple por causa do comprometimento de suas valiosas informações com a Quanta Computer Inc.

Prevalência de ataques de ransomware de dupla extorsão

O uso do método de dupla extorsão triplicou devido ao seu sucesso. Relatório de pesquisa do Titaniam Ransomware, registra um aumento de 106% na exfiltração de dados e uma taxa de sucesso de 60% para invasores em 2022. As probabilidades estão se inclinando para favorecer agentes mal-intencionados e nenhuma empresa está livre de ser invadida ou invadida novamente.

Perda de funcionários valiosos

O efeito nefasto desse incidente pode garantir que uma empresa perca a maior parte de sua valiosa equipe. De acordo com o 2022 Relatório Cybereason Ransomware , 40% das empresas perderam seus funcionários porque foram demitidos ou demitidos após um ataque.

Algumas pequenas e grandes empresas perdem seus funcionários porque não podem pagar os salários após uma perda significativa de fundos. Em alguns cenários, a alta perda de fundos ocorre porque os invasores exigiram resgate duplo.

Por outro lado, pode acontecer porque suas ações afundam após a exposição a informações significativas em plataformas como a NASDAQ.

Mitigando o Ataque de Ransomware de Extorsão Dupla

Com o aumento dos ataques de ransomware de dupla extorsão, você não precisa esperar até o pós-ataque antes de agir. A proatividade é a melhor forma de combater esse ataque. Embora possa não eliminar as chances de infiltração em uma empresa, minimiza as chances. Além disso, minimiza a perda em caso de violação.

Aplicar política de confiança zero

As empresas permitem que os indivíduos obtenham acesso privilegiado à sua rede, mesmo nas áreas mais sensíveis. Quando isso acontece, eles colocam a arquitetura em um ponto vulnerável para um ataque de ransomware.

As empresas devem praticar uma política de confiança zero, restringindo o acesso à sua rede. Eles devem ver todos os elementos em sua rede, incluindo os internos, como uma ameaça provável. Deve haver autenticação obrigatória de elementos antes de conceder acesso.

Outra recomendação é criar uma segmentação de rede para todos os acessos concedidos. Essa prática limitará a propagação de malware.

criptografar dados

O ponto de pressão para agentes mal-intencionados que usam essa série de ataques é que eles exfiltraram seus dados e podem publicá-los se você se recusar a pagar um resgate. No entanto, as empresas podem estar um passo à frente criptografando seus dados desde o início.

Ao criptografar seus dados, você negou o acesso do ator mal-intencionado aos seus dados, reduzindo assim seu poder de barganha. O agente da ameaça não pode mais ameaçar com vazamentos de dados; o pior que ele pode fazer é criptografar seus dados duas vezes.

Backup off-line

A dupla extorsão fez com que o backup offline aparecesse como uma opção menos eficiente para mitigar ações maliciosas. No entanto, o backup offline pode salvar sua empresa de danos se você praticar a criptografia de dados. Dessa forma, mesmo quando os invasores criptografam seus dados duas vezes, você pode recorrer aos dados de backup offline.

Educação dos Funcionários

O surgimento do covid 19 viu a taxa de empregos remotos disparar. Mais funcionários agora podem acessar redes confidenciais por meio de um roteador externo. Embora esse desenvolvimento facilite a vida dos trabalhadores, ele cria mais vulnerabilidades para seus empregadores.

Os invasores aproveitam a ignorância de alguns funcionários para suas façanhas. Mesmo os funcionários podem ser uma ameaça não intencional; no entanto, isso pode ser evitado com sensibilização. A recomendação é que as empresas intensifiquem a conscientização interna sobre ataques de ransomware e suas implicações.

Avalie sua rede e corrija as vulnerabilidades

As empresas avaliam brechas em sua rede de duas maneiras, dependendo do tamanho de sua infraestrutura. Eles podem realizar uma avaliação ou simulação de vulnerabilidade por um testador de penetração. Com isso, eles podem identificar qualquer falha de segurança e configuração incorreta que facilite um possível ataque.

Também é fundamental corrigir rapidamente todas as vulnerabilidades e realizar as atualizações de segurança necessárias, ou todo esforço será inútil, como foi no caso da Travelex. Antes do ataque REvil, Kevin Beaumount, um pesquisador de segurança, afirmou que vulnerabilidades foram encontradas nas redes de algumas organizações desde agosto de 2019. No entanto, a Travelex estava relutante em consertá-lo, daí sua queda.

Registro de Dados de Monitoramento

As empresas podem observar atividades de pacotes em sua rede com ferramentas que as alertarão quando algo incomum ocorrer. Ao monitorar o registro de dados, você pode identificar imediatamente um ataque de malware e interrompê-lo antes que ele se agrave.

Conclusão

Enquanto as empresas e os profissionais de segurança cibernética estão fazendo o possível para proteger sua infraestrutura, os invasores de Ransomware estão dobrando seus esforços para tornar o trabalho tedioso.

Além da extorsão dupla, outras táticas usadas pelos invasores de ransomware incluem extorsão tripla e extorsão quádrupla. Os especialistas em segurança cibernética precisam atualizar seus conhecimentos e habilidades para combater esse problema.

Além disso, as empresas devem ser mais intencionais e dedicadas à sua infraestrutura de segurança. Eles devem abraçar as recentes tendências de segurança e implementá-las em sua organização.