Sobreviver ao desafio do ransomware: Um teste de resiliência

2025 tem sido um ano marcante para o ransomware, e ainda faltam cinco meses para acabar. 🫠Causou estragos em varejistas de todo o Reino Unido, devastou diversas instituições de saúde na Ásia-Pacífico, abalou governos na América Latina e deu uma "lição" nos sistemas educacionais da América do Norte.

O ransomware continua sendo um modelo de negócio altamente lucrativo para grupos criminosos, hacktivistas e novatos, mesmo que seus motivos sejam bastante diferentes. (Quero dizer, apenas com variantes ligadas ao TrickBot, grupos de ransomware já extorquiram um total de US$ 724 milhões em criptomoedas. É assustador.)

Sem querer ser pessimista, mas está meio feia a coisa lá fora. Os grupos de ransomware estão recorrendo a múltiplos métodos de extorsão para garantir seus ganhos e, além disso, vêm selecionando alvos com precisão cada vez maior, o que aumenta significativamente seu nível de ameaça. Vários grupos podem ter como alvo uma única organização simultaneamente e, se a sua empresa for multinacional, a ameaça também pode ser.

Para piorar a situação, os grupos são extremamente inteligentes em seus mecanismos de evasão, tanto tecnologicamente quanto em burlar as autoridades policiais. Nomes e associações de grupos em constante mudança tornam 🎶difícil conter o crime🎶.

No entanto, a palavra que começa com a letra R em que devemos focar em 2025 e nos anos seguintes é resiliência. Criar uma cultura de resiliência, sendo ágil e focando na rápida identificação, remediação e recuperação de ameaças, é a maneira de evitar ser roubado por esses criminosos digitais.

A média de dias de paralisação após um ataque de ransomware já tem tempo suficiente para considerar: 21. E 21 dias é tempo suficiente suficiente para causar graves danos econômicos e à reputação — e até ameaçar vidas se a vítima for uma organização de saúde.

É sério: você deveria ler o relatório inteiro, mas se só tem tempo para um resumo rápido, aqui está um pouco do que se pode esperar encontrar neste "baú do tesouro", que é o relatório SOTI.

Os invasores estão utilizando inteligência artificial e modelos de linguagem avançados (LLMs) para aumentar a escala, a complexidade e a eficiência dos ataques. Grupos de ransomware como FunkSec e grupos de Ameaça Avançada Persistente, como Forest Blizzard e Emerald Sleet, usam IA generativa para automatizar várias táticas, desde gerar códigos maliciosos e criar e-mails de phishing convincentes, até realizar ataques de vishing, que se passam por funcionários da empresa e usar chatbots para negociar com as vítimas.

Ferramentas emergentes como WormGPT, DarkGPT e FraudGPT reduzem drasticamente as barreiras de entrada, facilitando para amadores realizarem ataques.

Os invasores vão além da extorsão tradicional, que consiste apenas em exigir um resgate para descriptografar os dados roubados. Táticas de dupla, tripla e até quádrupla extorsão aumentam a pressão ao ameaçar expor informações de clientes, interromper operações com ataques de negação de serviço distribuída (DDoS) e enviar mensagens de assédio a parceiros comerciais, clientes e outros, incluindo informar a mídia sobre a violação.

Os invasores de ransomware também têm utilizado a conformidade como uma arma. Uma tendência recente envolve ameaças de revelar que uma empresa está violando a segurança ou quebrando regulamentos de confidencialidade, o que pode expor a organização vítima a multas capazes de exceder em muito a exigência de resgate.

O ransomware como serviço (RaaS) evoluiu muito desde os primeiros dias do REvil e Ryuk. O RaaS revolucionou as operações de ransomware desde a sua criação, reduzindo drasticamente a barreira técnica de entrada, o que permitiu que não especialistas orquestrassem os ataques bem-sucedidos que vemos hoje.

Alguns grupos de ransomware estão desfocando a linha entre o hacktivismo e as motivações de lucrar. Esses grupos híbridos estão aproveitando as plataformas RaaS não apenas para impulsionar o lucro financeiro, mas também para avançar em agendas ideológicas ou políticas.

Grupos como Stormous, DragonForce, KillSec, CyberVolk e Dragon RaaS perpetuaram ataques disruptivos a empresas privadas, instituições governamentais e infraestrutura crítica em países ao redor do mundo.

O relatório SOTI também inclui destaques especiais de segurança que exploram com mais profundidade temas específicos de interesse, escritos por nossos próprios super-heróis de segurança da Akamai, Or Zuckerman, Maor Dahan, e James Casey, incluindo:

• Wizard Spider (também conhecido como TrickBot), um grupo de crime cibernético com motivações financeiras que visa infraestruturas críticas, incluindo sistemas de saúde, e tem vínculos com serviços de inteligência russos

• Malware de cryptomining, ou mineração maliciosa de criptomoedas, que explora secretamente os recursos da vítima para obter lucro minerando criptomoedas, os criptomineradores agora representam uma parte significativa do crime cibernético mundial

• Ransomware e a lei, ou seja, os esforços de legisladores e reguladores para criar marcos legais que ajudem a enfrentar o desafio das estratégias de ransomware em rápida evolução, incluindo iniciativas legais para desencorajar o pagamento de resgates

As taxas de seguro cibernético estão aumentando drasticamente, juntamente com a taxa de auditorias dos recursos de segurança cibernética das empresas, de modo que as organizações precisam desenvolver estratégias para criar resiliência contra ransomware. Isso significa planejar para o pior cenário, tendo políticas e estratégias claras para lidar com e negociar pagamentos de ransomware.

A economia criminosa por ransomware é dinâmica, e a defesa contra essa ameaça requer agilidade igual. Para se protegerem, as organizações devem redefinir a resiliência cibernética e implementar estruturas práticas para obter proteção abrangente. Entender o estado da ameaça de ransomware é uma etapa inicial crítica nesse processo.