Nos últimos anos, o cenário do cibercrime testemunhou uma transformação significativa com a ascensão do ransomware as a service (RaaS). Este modelo inovador democratizou o acesso ao ransomware, permitindo que até mesmo indivíduos com habilidades técnicas limitadas pudessem lançar campanhas de ciberataques.
Neste artigo, exploraremos as características essenciais do ransomware as a service (RaaS), desde sua origem até seu modo de funcionamento. Além disso, apresentaremos os grupos de ransomware mais ativos no Brasil e abordaremos 5 medidas que podem auxiliar as empresas a fortalecerem suas defesas contra essa ameaça.
Ao compreender o RaaS e suas implicações, as organizações estarão mais bem preparadas para enfrentar essa ameaça cibernética em constante evolução. Tenha uma boa leitura!
Como surgiu o ransomware as a service (RaaS)?
As origens do ransomware as a service (RaaS) remontam às experimentações iniciais com ransomware por volta de 2005, quando o Gpcode surgiu como um pioneiro na extorsão digital. Esse malware inovador criptografava os arquivos nas máquinas das vítimas, exigindo resgates para fornecer as chaves de descriptografia.
Com o tempo, cepas aprimoradas, como Reveton e CryptoLocker, refinaram as técnicas do Gpcode. Esse processo levou ao estabelecimento de um novo paradigma nos ciberataques ao requerer pagamentos para restaurar o acesso a dados pessoais e corporativos.
A introdução das criptomoedas em 2009 impulsionou ainda mais o modelo RaaS. Essa inovação proporcionou aos hackers uma maneira eficaz de exigir resgates anonimamente, facilitando transações entre hackers sem revelar identidades ou enfrentar o risco de congelamento de contas bancárias.
Em 2013, o CryptoLocker representou uma nova e ameaçadora evolução ao empregar criptografia robusta e um sistema de pagamento sólido, frequentemente exigindo resgates em Bitcoin. Esse marco indicou uma mudança em direção à profissionalização das operações de ransomware.
No ano de 2015, plataformas RaaS como o Tox surgiram, possibilitando a disseminação de ransomware por meio de interfaces amigáveis. Essa novidade permitiu até mesmo a pessoas tecnicamente não qualificadas lançarem campanhas. Os anos de 2016 e 2017 testemunharam um aumento nas plataformas RaaS, com destaque para o Cerber em 2016 e o Satan RaaS em 2017. Essas plataformas introduziram serviços mais sofisticados e automatizados, ampliando significativamente o cenário de ciberameaças.
Em decorrência dessa popularização do modelo RaaS e da expansão dos ciberataques a Estados e empresas, os governos têm implementado legislações de cibersegurança mais rígidas. A promulgação da Política Nacional de Cibersegurança (PNCiber) pelo governo brasileiro em 2023 exemplifica essa intensificação dos esforços de prevenção e combate ao cibercrime.
Como funciona o ransomware as a service (RaaS)?
O ransomware as a Service (RaaS) opera como um serviço de software, transformando assim a dinâmica dos ciberataques. Nesse contexto, uma equipe especializada de programadores se encarrega do desenvolvimento e manutenção do software, cobrando uma taxa para permitir que outros usuários o utilizem.
Assim como no modelo software as a service (SaaS), os desenvolvedores de RaaS não fornecem somente o software. Além disso, eles também oferecem atendimento ao cliente e suporte técnico dedicados, estabelecendo um paralelo com empresas de tecnologia convencionais.
As taxas associadas ao RaaS geralmente assumem a forma de uma porcentagem do resgate pago pelas vítimas. Isso implica que o usuário do RaaS é responsável pela infiltração na rede, enquanto o pagamento do resgate é direcionado ao provedor RaaS. O provedor, por sua vez, retém uma porcentagem e repassa o restante ao usuário, criando uma dinâmica de parceria financeira.
Além do aspecto financeiro, os provedores RaaS oferecem atualizações regulares, semelhantes a patches. Elas permitem ao ransomware contornar as últimas defesas antivírus, aumentando suas chances de infiltração bem-sucedida, criptografia e roubo de dados.
Este modelo inovador amplia significativamente o espectro de agentes de ameaças online, permitindo que praticamente qualquer pessoa conduza um ataque de ransomware.
O RaaS é um ecossistema dinâmico e independente no submundo digital, com operadores desempenhando papéis específicos, incluindo líderes, desenvolvedores e administradores de infraestrutura e sistemas. A evolução contínua desse modelo destaca a adaptabilidade do RaaS num cenário de ciberameaças em constante transformação.
Quais são os grupos de ransomware mais ativos no Brasil?
A Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República realizou um estudo quantitativo de ciberameaças. A partir da análise de uma amostra coletada em notícias de fontes abertas, o estudo indica os grupos de ransomware mais ativos no Brasil em 2023.
Conforme dados do referido estudo, três grupos de ransomware as a Service (RaaS) emergiram como os mais atuantes no período verificado:
- LockBit: atualmente, o LockBit não apenas lidera os ciberataques com ransomware no Brasil, mas também se destaca como o principal provedor global de RaaS. Conforme o Check Point Software, em 2023 o grupo destacou-se como líder em número de vítimas extorquidas, afetando mais de 1.000 organizações globalmente;
- Black Basta: surgiu em abril de 2022 como uma operação de ransomware como serviço especializada em ataques de dupla extorsão contra corporações de todo mundo. Em seus ciberataques, o Black Basta não apenas criptografa os dados da vítima, mas também rouba informações confidenciais, ameaçando divulgá-las caso o pagamento não seja efetuado;
- BlackCat/ALPHV: grupo de RaaS que surgiu em novembro de 2021 e se especializou em ataques contra organizações utilizando a estratégia de tripla extorsão. Além de criptografar dados e ameaçar sua divulgação pública, o ALPHV adiciona a ameaça de um ataque DDoS caso suas exigências não sejam atendidas.
Como as empresas podem se proteger do RaaS?
Ao adotar medidas abrangentes e proativas, sua empresa estará mais bem preparada para enfrentar as novas ciberameaças trazidas pelo ransomware as a Service (RaaS). Nesta seção, apresentamos 5 medidas essenciais que auxiliam as organizações a se defenderem contra ataques de ransomware e proteger seus dados e sistemas críticos. Confira:
- Empregar frameworks de cibersegurança consolidados: mobilizar modelos consolidados globalmente como o MITRE ATT&CK e NIST para obter insights e práticas de prevenção, detecção e resposta a ataques de ransomware;
- Adotar uma plataforma que elimine lacunas de segurança e visibilidade: escolher uma solução de cibersegurança que monitore de forma contínua toda a superfície de ataque em busca de indícios precoces de atividades suspeitas. Priorizar plataformas que utilizem tecnologias avançadas, como inteligência artificial, aprendizado de máquina e XDR, para detecção eficaz de ameaças;
- Implementar o modelo Zero Trust Network Access (ZTNA): o ZTNA transcende o modelo tradicional de segurança de rede baseado em "perímetro" ao adotar uma abordagem de "confiança zero". Com o ZTNA, cada acesso é validado em tempo real, independentemente da localização do usuário ou dispositivo;
- Ter uma estratégia robusta de backups de rotina: adotar a estratégia de backup 3-2-2, criando três cópias em dois formatos distintos, com duas delas armazenadas fora do local (uma cópia em um local remoto e outra na nuvem). Essa estratégia vai além do modelo 3-2-1, proporcionando uma combinação eficaz de proteção local e baseada na nuvem;
- Treinar e testar a estratégia de defesa: é fundamental realizar avaliações regulares de habilidades e treinamento de segurança, bem como exercícios do red team e testes de invasão.
Conclusão
Em resumo, a ascensão do ransomware as a service (RaaS) representa um capítulo sombrio na evolução do cibercrime, redesenhando o cenário das ameaças digitais. Compreender suas origens, seu modo de funcionamento e seus principais representantes no Brasil destaca a necessidade premente de defesas robustas.
Empregar frameworks de cibersegurança consolidados, como MITRE ATT&CK e NIST, é vital. Da mesma forma, é fundamental utilizar plataformas avançadas de gerenciamento de incidentes, como o Inopli da Diazero, que oferece uma resposta eficaz e abrangente, eliminando lacunas de segurança.
A implementação de uma abordagem zero trust, uma estratégia de backups regulares e um programa de treinamento contínuo são elementos fundamentais para fortalecer a resiliência organizacional.
Em última análise, a luta contra o RaaS exige uma abordagem multifacetada. É essencial combinar tecnologia avançada, estratégias preventivas e prontidão operacional para proteger efetivamente os ativos digitais das organizações diante dessa traiçoeira ameaça.
Solicite agora uma avaliação gratuita e descubra como a Diazero Security pode contribuir para otimizar a segurança cibernética em sua empresa.
Segurança