172 views 7 mins

Ransomware as a Service: ameaças agora são revendidas como negócio

em Manchete Principal
segunda-feira, 06 de junho de 2022

Daniel Barbosa (*)

Durante o primeiro semestre de 2021, a América Latina representou 21,58% do total global de ataques, sendo o Brasil o país mais afetado na região. Entre as detecções de incidentes de ransomware no mundo, se compararmos o primeiro semestre de 2021, o Brasil teve um aumento de 856% em relação ao mesmo período do ano passado.

Se o ransomware em si já é perigoso, pense nele potencializado por meio de um modelo de negócios em constante expansão que os cibercriminosos estão disponibilizando: o Ransomware as a Service (RaaS). O novo serviço ilícito é baseado no modelo de negócios lícito de Software as a Service (SaaS).

O RaaS permite a venda de kits para que os cibercriminosos, sem habilidade ou tempo para desenvolver a própria variante de ransomware, consigam utilizar um de forma rápida e acessível. Eles são fáceis de encontrar na dark web e são anunciados de forma banal, da mesma maneira que um produto comum é divulgado na internet que temos acesso diariamente.

Um kit RaaS pode incluir suporte 24 horas por dia, 7 dias por semana, ofertas em pacote, análises de usuários, fóruns e outros recursos idênticos aos oferecidos por provedores de SaaS legítimos. O preço dos kits RaaS varia de US$ 40 por mês a vários milhares de dólares – valores triviais, considerando que existem ataques que geram resgates em torno de US$ 6 milhões.

Ou seja, um agente de ameaças não precisa que todos os ataques sejam bem-sucedidos para ficar rico. Existem quatro modelos de receita RaaS comuns:

Assinatura mensal por uma taxa fixa;
Programas de afiliados, que são os mesmos que um modelo de taxa mensal, mas com uma porcentagem dos lucros (normalmente 20-30%) indo para o desenvolvedor do ransomware;
Taxa de licença única sem participação nos lucros;
Pura participação nos lucros.

As operadoras de RaaS mais sofisticadas oferecem portais que permitem que seus assinantes vejam o status de infecções, pagamentos totais, arquivos totais criptografados e outras informações sobre seus alvos. Um afiliado pode simplesmente entrar no portal RaaS, criar uma conta, pagar com Bitcoin, inserir detalhes sobre o tipo de malware que deseja criar e enviá-lo.

Os assinantes podem ter acesso a suporte, comunidades, documentação, atualizações de recursos e outros benefícios iguais aos recebidos pelos assinantes de produtos SaaS legítimos. O mercado RaaS é competitivo. Além dos portais RaaS, os operadores executam campanhas de marketing e possuem sites que se parecem exatamente com as campanhas e sites da sua própria empresa. Eles têm vídeos, whitepapers e são ativos no Twitter.

. Ransomware: você não deve pagar o resgate – Pagar ou não por um resgate de ransomware sempre é uma decisão muito difícil de ser tomada. Se você fizer um pagamento, estará confiando que os cibercriminosos cumprirão sua promessa de fornecer uma chave de descriptografia – o que pode não ocorrer, além de incentivar que esta prática continue a ser exercida.

As operações de cibercriminosos são inerentemente amorais, e não é confiável que os indivíduos terão suas redes e conteúdos de volta como prometido. Na verdade, muitos afiliados de RaaS não perdem tempo fornecendo chaves de descriptografia para todas as vítimas pagantes, pois o tempo pode ser mais bem gasto procurando novos alvos.

Como um pagamento de resgate nunca garante a descriptografia dos dados apreendidos, os especialistas em segurança da informação como um todo desencorajam fortemente o pagamento de valores.

. Prevenindo ataques de RaaS – A recuperação de um ataque de ransomware é difícil, custa caro e, por isso, é melhor evitá-los completamente. As etapas para prevenir um ataque de RaaS são as mesmas que para impedir qualquer ataque de sequestro de dados, porque o RaaS é apenas um malware empacotado para facilitar o uso por qualquer pessoa mal intencionada.

É importante implementar uma proteção de endpoint confiável e moderna, que funcione em algoritmos avançados e trabalhe automaticamente em segundo plano 24 horas por dia. Além disso, deve-se testar os backups da empresa regularmente para garantir que eles possam ser utilizados para recuperação quando necessário.

Outros pontos relevantes no combate a estas ameaças é manter um programa de atualização de patches rigoroso para se proteger contra vulnerabilidades conhecidas e também implementar proteção antiphishing avançada.

. Por último, mas não menos importante – Invista em treinamentos de usuários para sua empresa, além de construir uma cultura de segurança. Deixar a cibersegurança na mão de poucos funcionários não é muito interessante, pois limita a solução que deveria ser de conhecimento geral em um negócio.

Em momentos de necessidade, como um ataque de ransomware, o alerta deve permitir que todos consigam auxiliar na contenção de vazamentos e na criação de um ambiente corporativo mais seguro.

(*) – É Especialista em segurança da informação da ESET (www.eset.com/br).