Blog da Zscaler

Receba as últimas atualizações do blog da Zscaler na sua caixa de entrada

Inscreva-se
Pesquisa de segurança

Relatório ThreatLabz Estado do Ransomware em 2022

DEEPEN DESAI, RAJDEEPSINH DODIA, NIRMAL SINGH, BRETT STONE-GROSS
June 02, 2022 - 6 Min. de leitura
Ransomware

Conteúdo

  1. Artigo
  2. Mais blogs

Os ataques de ransomware aumentaram em 80% entre fevereiro de 2021 e março de 2022, com base na análise de cargas de ransomware observadas na nuvem da Zscaler. Ataques de dupla extorsão, que consistem na criptografia e exfiltração dos dados, aumentaram ainda mais rapidamente, subindo 117% ano após ano.

O relatório ThreatLabz Estado do Ransomware em 2022 analisa um ano de informações de inteligência de várias fontes, incluindo mais de 200 bilhões de transações diárias e 50 milhões de ameaças bloqueadas diariamente por toda a Zscaler Zero Trust Exchange, e mostra que os ataques de ransomware estão se tornando cada vez mais atrativos para criminosos. Os agressores conseguem realizar campanhas cada vez mais lucrativas com base em três tendências principais: 

  • Ataques à cadeia de suprimentos, que exploram os relacionamentos entre empresas e fornecedores confiáveis para invadir organizações e multiplicar os danos dos ataques, ao permitir que agentes agressores atinjam diversas (às vezes, centenas de milhares de) vítimas simultaneamente.
  • Ransomware-as-a-service, que usa redes de afiliados para distribuir ransomware em larga escala, permitindo que hackers especializados na invasão de redes dividam os lucros com grupos de ransomware mais avançados.
  • Ataques de extorsão múltipla, que utilizam roubos de dados, ataques de negação de serviço (DDoS), comunicações dos clientes, entre outros, como táticas de extorsão em camadas para aumentar os pagamentos de resgates. Os ataques à cadeia de suprimentos, ecossistemas de ransomware-as-a-service e táticas de extorsão múltipla aumentaram o volume e a taxa de sucesso dos ataques. 

Nesse relatório, a ThreatLabz oferece uma visão abrangente do cenário de ameaças de ransomware e fornece dados sobre tendências, previsões e orientações de defesa. Nosso relatório faz uma analise aprofundada sobre as sequências de ataque, o perfil das vítimas e o impacto nos negócios das 11 principais famílias de ransomware, incluindo:

  • Conti   
  • LockBit   
  • PYSA/Mespinoza   
  • REvil/Sodinokibi   
  • Avaddon   
  • Clop   
  • Grief   
  • Hive   
  • BlackByte   
  • AvosLocker   
  • BlackCat/ALPHV

Image

Mudança percentual em ataques de dupla extorsão por setor

 

 Principais descobertas

 

  • Os ataques de ransomware aumentaram em 80% ano após ano, ao considerar todas as cargas de ransomware observadas na nuvem da Zscaler.
     
  • Os ataques de ransomware de dupla extorsão aumentaram em 117%. Alguns setores presenciaram um aumento bastante expressivo nos ataques de dupla extorsão, incluindo os setores de saúde (643%), serviços de alimentação (460%), mineração (229%), educação (225%), mídia (200%) e manufatura (190%).
  • O setor de manufatura foi o mais afetado pelo segundo ano seguido, sofrendo quase 20% dos ataques de ransomware de dupla extorsão.
     
  • Os ataques de ransomware à cadeia de suprimentos estão em ascensão. Explorar fornecedores confiáveis permite que os agressores invadam um grande número de organizações simultaneamente, incluindo organizações que, de outra forma, estariam fortemente protegidas contra ataques externos. Os ataques de ransomware à cadeia de suprimentos feitos no ano passado incluem campanhas prejudiciais contra a Kaseya e a Quanta, assim como vários ataques que exploraram a vulnerabilidade Log4j.
     
  • O ransomware-as-a-service está gerando mais ataques. Os grupos de ransomware continuam buscando afiliados em fóruns ilegais. Esses afiliados comprometem grandes organizações e implantam o ransomware do grupo, geralmente em troca de cerca de 80% do valor dos resgates recebidos das vítimas. Oito das onze principais famílias de ransomware do último ano se proliferaram através do modelo ransomware-as-a-service.
     
  • As agências de segurança pública estão agindo. Várias das principais famílias de ransomware em atuação no ano passado, especialmente aquelas que atacam serviços críticos, atraíram a atenção das agências de segurança pública por todo o mundo. Três das famílias de ransomware mais infames dos últimos dois anos tiveram seus ativos apreendidos por agências de segurança pública em 2021.
  • As famílias de ransomware não estão desaparecendo — estão apenas sendo renomeadas. Com o aperto do cerco das agências de segurança pública, muitos grupos de ransomware foram desfeitos e criados novamente com novos nomes, mas continuam usando as mesmas táticas (ou muito semelhantes). 
     
  • O conflito entre Rússia e Ucrânia deixou o mundo em alerta. Ocorreram vários ataques associados ao conflito entre Rússia e Ucrânia, com alguns deles combinando diversas táticas, como os ransomwares HermeticWiper e PartyTicket. Até o momento, a maior parte dessa atividade foi direcionada à Ucrânia. No entanto, as agências governamentais alertaram as organizações a ficarem de prontidão para ataques mais generalizados à medida que o conflito persiste.
     
  • A zero trust continua sendo a melhor defesa. Para minimizar as chances de sofrer uma invasão e os danos que um ataque bem-sucedido pode causar, sua organização deve usar estratégias de defesa em profundidade. Entre elas: reduzir a superfície de ataque, aplicar o controle de acesso de privilégio mínimo e monitorar e inspecionar continuamente os dados em todo o ambiente.

 

 

Como se proteger contra ataques de ransomware

Seja um simples ataque de ransomware, um ataque de dupla ou tripla extorsão, uma família de ataques independente ou um ataque de RaaS executado por uma rede afiliada, a estratégia de defesa permanece a mesma: aplicar os princípios de zero trust para limitar as vulnerabilidades, prevenir e detectar ataques e limitar o raio de ação de invasões bem-sucedidas. Aqui vão algumas recomendações de melhores práticas para proteger sua empresa contra ransomware:

  1. Remova seus aplicativos da internet. Os agentes de ransomware começam seus ataques realizando o reconhecimento do ambiente, procurando por vulnerabilidades para explorar e ajustando sua abordagem. Quanto mais aplicativos você tiver publicados na internet, mais fácil será atacá-lo. Adote uma arquitetura zero trust para proteger aplicativos internos, tornando-os invisíveis aos agressores.
  2. Aplique uma política de segurança consistente para evitar o comprometimento inicial. Com uma força de trabalho distribuída, é importante implementar uma arquitetura de serviço de segurança de borda (SSE) que possa impor uma política de segurança consistente, não importando onde seus usuários estejam trabalhando (no escritório ou remotamente). 
  3. Use sandboxes para detectar cargas desconhecidas. A detecção com base em assinaturas não é suficiente para impedir variantes e cargas de ransomware em constante mudança. Proteja-se de ataques desconhecidos e evasivos com uma sandbox integrada e baseada em inteligência artificial, que analisa o comportamento em vez do empacotamento de um arquivo.
  4. Implemente uma arquitetura de acesso de rede zero trust (ZTNA). Implemente a segmentação granular de usuário a aplicativo ou de aplicativo a aplicativo, intermediando o acesso através de controles de acesso de privilégio mínimo dinâmicos para eliminar as movimentações laterais. Isso permite minimizar a quantidade de dados que pode ser criptografada ou roubada, reduzindo o raio de ação de um ataque. 
  5. Implante uma prevenção integrada contra a perda de dados. Utilize ferramentas e políticas de prevenção contra a perda de dados para evitar a exfiltração de informações sigilosas e impedir o uso de técnicas de dupla extorsão.
  6. Mantenha os softwares e os treinamentos em dia. Aplique correções de segurança de software e faça treinamentos frequentes de conscientização de segurança com seus funcionários para reduzir as vulnerabilidades que possam ser exploradas por criminosos.
  7. Tenha um plano de reação. Prepare-se para o pior com um seguro cibernético, um plano de backup de dados e um plano de reação como parte do seu programa geral de continuidade de negócios e recuperação de desastres.

Para maximizar suas chances de defesa contra ataques de ransomware, é preciso adotar a defesa em camadas, que pode interromper o ataque em cada estágio, desde o reconhecimento até o comprometimento inicial, movimentação lateral, roubo de dados e execução do ransomware.

Image

A Zscaler Zero Trust Exchange é uma plataforma líder em serviço de segurança de borda (SSE) e oferece uma proteção contra ransomwares incomparável, em todas as etapas da cadeia de ataque, para reduzir dramaticamente suas chances de sofrer um ataque e mitigar os possíveis danos.

A Zscaler integra nativamente recursos líderes da indústria que:

  • Minimizam a superfície de ataque: a arquitetura nativa da nuvem e baseada em proxy da Zscaler torna os aplicativos internos invisíveis para a internet, o que reduz a superfície de ataque e elimina potenciais vetores de ataque. 
  • Evitam o comprometimento: a Zscaler oferece inspeção e autenticação completas de todo o tráfego, incluindo tráfego criptografado, para impedir a entrada de agentes maliciosos e aproveita ferramentas, como isolamento de navegador e sandbox integrada, para proteger os usuários de ameaças desconhecidas e evasivas.
  • Eliminam a movimentação lateral: a Zscaler conecta com segurança usuários e entidades diretamente a aplicativos, não a redes, para eliminar a possibilidade de movimentação lateral, e cerca seus aplicativos primordiais com iscas realistas, por garantia.
    Impedem a perda de dados: a Zscaler inspeciona todo o tráfego de saída a aplicativos na nuvem para prevenir o roubo de dados, e usa recursos do agente de segurança de acesso à nuvem (CASB) para identificar e remediar vulnerabilidades de dados em repouso.

Para saber mais sobre as principais ameaças de ransomware atuais e como proteger sua organização delas, baixe uma cópia gratuita do “Relatório ThreatLabz Estado do Ransomware em 2022”.

 

Sobre o ThreatLabz

ThreatLabz é uma empresa de pesquisas sobre segurança da Zscaler. Essa equipe de classe mundial é responsável pela investigação de novas ameaças para garantir que as milhares de empresas e organizações que usam a plataforma global da Zscaler estejam sempre protegidas. Além das pesquisas e análises comportamentais relativas ao malware, essa equipe é dedicada à pesquisa e desenvolvimento de novos protótipos de módulos para garantir proteção avançada contra ameaças na plataforma Zscaler, e realizam regularmente auditorias internas de segurança para certificar-se de que os produtos da Zscaler e sua infraestrutura atendam e estejam sempre em conformidade com as normas de segurança. O ThreatLabz publica regularmente análises aprofundadas de ameaças novas e em evolução em seu portal, research.zscaler.com.

 

Permaneça atualizado sobre as pesquisas da ThreatLabz inscrevendo-se hoje mesmo em nosso boletim informativo Trust Issues.

form submtited
Obrigado por ler

Esta postagem foi útil??

vote yes
Sim, muito útil!
vote no
Na verdade, não

Explore mais blogs da Zscaler

Ransomware
Technical Analysis of CryptNet Ransomware
Leia o blog
Trigona ransomware
Technical Analysis of Trigona Ransomware
Leia o blog
Nevada ransomware
Nevada Ransomware: Yet Another Nokoyawa Variant
Leia o blog
Ransomware hacker
Nokoyawa Ransomware: Rust or Bust
Leia o blog

01 / 02

Receba as últimas atualizações do blog da Zscaler na sua caixa de entrada

Ao enviar o formulário, você concorda com nossa política de privacidade.