A Propagação Incansável: Dissecando os Recentes Aumentos de Sites de Vazamento de Ransomware e o Cenário de Ameaças Fragmentado

O ecossistema de ransomware está passando por um aumento significativo de atividade, refletindo uma profunda fragmentação do cenário de ameaças. O recente surgimento de novas listagens de sites de vazamento, impactando várias organizações dos EUA em setores críticos, fornece uma ilustração clara dessa ameaça em evolução e cada vez mais complexa.

O que aconteceu

Recentemente, um grupo de ransomware publicou novas listagens de vítimas, impactando significativamente organizações dos setores de saúde, educação, seguros, energia e tecnologia. Alvos notáveis incluíram várias entidades proeminentes abrangendo diversas indústrias. Essas divulgações geralmente seguem negociações fracassadas, com dados sendo divulgados ou ameaçados de publicação.

O ator da ameaça afirma possuir conjuntos de dados extensos e altamente sensíveis. Exemplos incluem supostos registros significativos de uma grande corporação, dados comprometidos substanciais de um provedor médico e um grande volume de dados do setor de seguros de uma associação nacional. Esses números destacam a escala da potencial exfiltração de dados e as graves implicações para as organizações vítimas. Educação e saúde, em particular, continuam sendo alvos primários devido à vasta quantidade de informações pessoais, financeiras e operacionais que gerenciam.

Por que esse padrão se repete

A economia fundamental e a resiliência operacional das operações de ransomware-as-a-service (RaaS) impulsionam esse padrão persistente. A proliferação de grupos e o alto número de vítimas globais demonstram a lucratividade e a barreira de entrada relativamente baixa para essas empresas criminosas. O ecossistema se fragmentou, afastando-se de alguns jogadores dominantes para inúmeras operações menores, mais ágeis e mais difíceis de atribuir.

Essa fragmentação permite uma adaptação rápida e resiliência contra os esforços de aplicação da lei. Quando um grupo é interrompido, novos surgem, muitas vezes aproveitando a infraestrutura compartilhada ou recrutando afiliados de operações extintas. O modelo RaaS, onde os desenvolvedores fornecem ferramentas e infraestrutura aos afiliados em troca de uma parte do resgate, democratiza ainda mais o acesso a recursos de ataque sofisticados.

A proliferação de sites de vazamento de ransomware é uma consequência direta de um ecossistema RaaS fragmentado e resiliente, onde a busca por lucro consistentemente supera as defesas reativas.

O manual do atacante passo a passo

As operações de ransomware geralmente seguem uma metodologia de ataque em várias etapas, muitas vezes começando com corretores de acesso inicial. Esses atores obtêm entrada por vários meios, incluindo a exploração de vulnerabilidades conhecidas, phishing ou preenchimento de credenciais. Pesquisas de segurança, por exemplo, identificam inúmeras vulnerabilidades comuns associadas a vários grupos, indicando uma dependência da exploração de fraquezas comuns.

Uma vez estabelecido o acesso inicial, os atacantes se envolvem em reconhecimento e movimento lateral dentro da rede da vítima. Essa fase envolve o mapeamento da topologia da rede, a escalada de privilégios e a identificação de alvos de alto valor para exfiltração e criptografia de dados. Sabe-se que os atores da ameaça usam diversos criptografadores para atingir vários sistemas operacionais e ambientes, demonstrando versatilidade em suas ferramentas de ataque.

A exfiltração de dados é uma etapa crítica, muitas vezes precedendo a criptografia, para maximizar a alavancagem para extorsão. Os atores da ameaça então implantam ransomware para criptografar sistemas, tornando-os inoperáveis, e deixam uma nota de resgate. Se as negociações falharem, conforme indicado pela recente atividade do site de vazamento, os dados roubados são publicados em um site de vazamento público, adicionando mais pressão e danos à reputação.

O que os defensores perderam

A aparição recorrente de novos sites de vazamento e divulgações de vítimas aponta para lacunas significativas nas estratégias defensivas. Muitas organizações continuam a operar com inteligência de ameaças retrospectiva, focando em Indicadores de Compromisso (IOCs) e TTPs documentados após a ocorrência de um incidente primário. Essa postura reativa as deixa vulneráveis a grupos emergentes e técnicas de ataque em evolução.

Além disso, a falta de testes de segurança ofensivos proativos significa que as vulnerabilidades exploráveis muitas vezes permanecem não descobertas até que um atacante as aproveite. Isso inclui fraquezas em sistemas externos, configurações incorretas e caminhos de escalada de privilégios que poderiam ser identificados por meio de testes ofensivos autônomos. O grande volume de dados reivindicados por atacantes de algumas vítimas sugere que a segmentação robusta de dados, controles de acesso e mecanismos de detecção de exfiltração provavelmente eram insuficientes.

O foco em sistemas internos muitas vezes ofusca o risco crítico representado por fornecedores terceirizados. O ransomware pode atravessar ecossistemas de fornecedores, impactando uma organização por meio de um fornecedor comprometido. Sem uma compreensão clara da suscetibilidade do fornecedor, as organizações permanecem expostas a riscos em cascata.

Um checklist de defesa prático

Para combater a crescente ameaça de ransomware, CISOs e engenheiros de segurança devem adotar uma postura defensiva proativa e abrangente:

• Priorize o Gerenciamento de Vulnerabilidades: Identifique e corrija continuamente as vulnerabilidades críticas, especialmente aquelas frequentemente exploradas por grupos de ransomware.
• Implemente Controles de Acesso Robustos: Aplique os princípios de privilégio mínimo, autenticação multifator (MFA) em todos os sistemas críticos e revisão regular do acesso administrativo.
• Fortaleça a Segmentação de Rede: Isole ativos críticos e dados sensíveis para limitar o movimento lateral em caso de violação.
• Aprimore a Detecção e Resposta de Endpoint (EDR): Implante e ajuste soluções EDR para detectar e responder a atividades suspeitas, incluindo tentativas de reconhecimento e exfiltração de dados.
• Desenvolva e Teste Planos de Resposta a Incidentes: Realize exercícios de cenários de resposta a incidentes regularmente, incluindo ataques de ransomware, para garantir contenção e recuperação rápidas e eficazes.
• Conduza Testes Ofensivos Proativos: Implemente testes ofensivos autônomos para identificar continuamente vulnerabilidades e configurações incorretas exploráveis antes que os atacantes o façam.
• Avalie o Risco de Terceiros: Integre inteligência de suscetibilidade a ransomware em programas de gerenciamento de risco de terceiros para entender e mitigar vulnerabilidades da cadeia de suprimentos.

Como testes ofensivos modernos teriam detectado isso

A varredura tradicional de vulnerabilidades e os testes de penetração geralmente fornecem uma avaliação pontual, que rapidamente se torna desatualizada em um cenário de ameaças dinâmico. Testes ofensivos modernos, particularmente testes ofensivos autônomos, oferecem uma abordagem contínua e adaptável. Nossa plataforma, com seus recursos de teste ofensivo autônomo e Provas de Conceito (PoCs) executáveis, oferece uma vantagem significativa.

Essa abordagem simula continuamente técnicas de atacantes do mundo real, identificando caminhos exploráveis que levam a ativos críticos ou exfiltração de dados. Ao gerar PoCs executáveis, as equipes de segurança obtêm evidências concretas de vulnerabilidades e as etapas precisas que um atacante seguiria. Isso permite a remediação proativa de falhas que poderiam levar a acesso inicial, movimento lateral ou exfiltração de dados, espelhando diretamente os estágios iniciais de ataques de ransomware.

Por exemplo, se um ator da ameaça explora uma vulnerabilidade conhecida (como as identificadas por pesquisadores de segurança), o teste ofensivo autônomo teria identificado a vulnerabilidade, demonstrado sua explorabilidade com um PoC e permitido a remediação antes que pudesse ser aproveitada em um ataque de ransomware. Isso muda a defesa da resposta reativa a incidentes para a mitigação proativa de ameaças.

O que observar a seguir

O cenário do ransomware continuará sua rápida evolução. A fragmentação em operações menores e mais rápidas persistirá, tornando a atribuição e a interrupção mais desafiadoras. Espere a exploração contínua de cadeias de suprimentos e fornecedores terceirizados, já que os atacantes buscam o caminho de menor resistência para organizações maiores.

A regra não escrita dentro do ecossistema de ransomware, onde certas regiões geográficas estão amplamente fora dos limites para evitar a intervenção da aplicação da lei local, continua sendo uma dinâmica crítica. Um incidente passado envolvendo um afiliado de um grupo notável, que pediu desculpas e baniu um afiliado por acidentalmente atingir uma empresa com um escritório corporativo em uma região sensível, ressalta essa restrição geopolítica. Qualquer mudança nessa dinâmica poderia alterar significativamente o cenário global de ameaças.

Além disso, as crescentes alegações de volumes massivos de exfiltração de dados sugerem um foco crescente na monetização de dados além da mera criptografia. As organizações devem se preparar para esquemas de extorsão dupla e tripla mais sofisticados, onde o vazamento de dados, a negação de serviço e a comunicação direta com os clientes são aproveitados. A inteligência contínua de ameaças e as medidas de segurança proativas serão primordiais para a sobrevivência nesse ambiente em escalada.