Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina, explica que a diferença está na maneira como os cibercriminosos atuam hoje em dia. "O WannaCry, grande ataque registrado em 2017, foi um ransomware disseminado de forma massiva e atingiu muitas empresas que não estavam com seus softwares atualizados, mas as vítimas eram definidas pelo acaso. Hoje, a primeira coisa que um grupo faz é escolher sua vítima, o ataque acontece depois disso. Por isso, chamamos os ataques recentes de direcionados", explica.

Esta nova postura seletiva se refletiu nos registrados da Kaspersky. Em 2020, foram bloqueados 2.968.473 ataques de ransomware na América Latina entre janeiro e agosto - uma média de 515 tentativas por hora. Já nos oito primeiros meses de 2021, foram registrados 1.307.481 bloqueios - média de 227 tentativas de ataque por hora. Na comparação de 2020 e 2021, há uma queda de 56% na atividade de ransomware na região.

O especialista da Kaspersky destaca ainda países que estão na contramão da tendência e apresentaram crescimento nos ataques de ransomware neste ano, como Guatemala, que registro um crescimento de +963%, República Dominicana (+461%), Colômbia (+316%), Argentina (+20%) e Panamá (+9%). Em relação aos países com mais detecções, a lista continua sendo liderada pelo Brasil, com mais da metade das detecções (64%). Em seguida, estão México (10%), Equador (5%), Colômbia (4%), Peru (3%), Guatemala (3%), Chile (2%) e Argentina (1%).

"Diferente das campanhas massivas que precisam ter alcance geográfico e diversidade de famílias para atingir uma grande quantidade de empresas, os ataques dirigidos podem chegar a qualquer organização. E esta mudança na operação criminosa fica claro quando analisamos as detecções de países como República Dominicana, Guatemala e Panamá", afirma Bestuzhev.

Os especialistas da Kaspersky ainda analisaram o modus operandis destes ataques direcionados e listaram as principais ações que as empresas devem adotar para evitar serem vítimas desta ameaça:
• Proteja a superfície de ataque: os principais vetores de ataque são o e-mail, sites de terceiros, portas abertas e expostas, vulnerabilidades de softwares, principalmente nas tecnologias de conexão remota (RDP) e de VPN. Além disso, para iniciar a infecção, os criminosos evitam as máquinas virtuais, pois o risco deles serem descobertos é maior neste ambiente. Por fim, os malware usados para iniciar a infecção usa técnicas de ofuscação e poucas* soluções de segurança conseguem detectá-los. "As empresas precisam analisar melhor a solução de segurança que usam. Técnicas de ofuscação não é algo novo, mas nossa análise mostra como as empresas estão vulneráveis", afirma Marc Rivero, analista de segurança do GReAT.
• Dificulte as movimentações laterais: uma vez que os criminosos conseguem acessar a rede corporativa (houve sucesso na infecção inicial), o novo objetivo é ampliar o acesso aos sistemas corporativos e adquirir privilégios de administrador. Para isso, eles usam trojans para roubar credenciais e ferramentas legítimas, como o Power Shell. "Para dificultar a evolução do ataque, recomendamos que as empresas usem tokens como segundo fato de autenticação e desabilitem o uso do Power Shell para usuários que não precisam desta tecnologia. Caso eles consigam estes privilégios, eles podem executar o processo de ciframento das informações de forma muito rápida", ressalta Rivero.
• Ecossistema do ransomware: a escolha das vítimas começa com a avaliação dos criminosos em relação sobre a probabilidade de receberem o resgate - e este valor é definido com uma porcentagem em cima do faturamento da empresa. Além disso, os criminosos trabalham no modelo de afiliação - em que o desenvolvedor do ransomware paga os operadores com base no sucesso e na quantidade de vítimas.

Para evitar ser vítima destes ataques, a Kaspersky recomenda que os usuários corporativos:

• Mantenham todos os programas e sistemas operacionais atualizados com a última versão. E não usem softwares piratas, pois a economia não justifica a perda econômica gerada por um ciberincidente.
• Realizem treinamentos de conscientização de segurança, principalmente para explicar aos funcionários os riscos de abrir links, sites e arquivos anexos suspeitos a partir de equipamentos corporativos, além de recomendar a criação de senhas complexas e diferenciadas.
• Imponham o uso de uma conexão segura (com o uso de uma VPN) para acessar remotamente qualquer recurso da empresa.
• Tenham uma solução de segurança de qualidade, como o Kaspersky Endpoint Security for Business, configurado corretamente para detectar comportamentos suspeitos, e que permita a reversão automática de arquivos - estas são tecnologias de proteção específicas para o combate ao ransomware. Para quem não é cliente, a empresa disponibiliza ainda a ferramenta gratuita Kaspersky Anti-Ransomware Tool for Business para blindar computadores e servidores destes ataques tipo de ameaça. Ela também protege vulnerabilidades e é compatível com as soluções de segurança já instaladas.
• Façam cópias de segurança (backups) de seus dados, tendo cópias off-line e em serviços de nuvem de qualidade para evitar que elas também sejam criptografadas.

Além disso, a Kaspersky é sócia cofundadora da iniciativa 'No More Ransom', lançada em julho de 2016, juntamente com a Polícia Nacional Holandesa, a Europol e a McAfee, e que fornece recursos úteis para as vítimas desta ameaça. Hoje, o projeto conta com 163 parceiros em todo o mundo, incluindo a Polícia Nacional Colombiana e o CSIRT de Buenos Aires. A plataforma está disponível em 36 idiomas e pode descriptografar 140 tipos diferentes de ransomware. Saiba mais no site.

Para outras informações sobre segurança digital, siga o blog da Kaspersky.

* Teste realizado pelos especialistas da Kaspersky usando o Virus Bulletin.