Como os ataques de ransomware visam setores específicos

Analisando mais de 100 incidentes de ransomware proeminentes, a Barracuda descobriu que os principais setores visados ​​são educação, municípios, saúde, infraestrutura e financeiro.

Os ataques de ransomware podem afetar qualquer tipo de organização em praticamente qualquer setor. Mas, algumas indústrias provaram ser alvos mais tentadores para criminosos cibernéticos. Em um relatório divulgado na quarta-feira, 24 de agosto, o provedor de segurança Barracuda discute quais tipos de empresas estão na mira do ransomware e oferece conselhos sobre como combater esses ataques.

O número de ameaças de ransomware detectadas pelo Barracuda saltou entre janeiro e junho de 2022 para mais de 1,2 milhão por mês. O volume de ataques reais de ransomware aumentou em janeiro, mas começou a desacelerar em maio.

Concentrando-se em 106 ataques altamente divulgados, os pesquisadores da Barracuda descobriram cinco setores como as principais vítimas: educação em 15% dos ataques, municípios em 12%, saúde em 12%, infraestrutura em 8% e financeiro em 6%.

Indústrias-alvo enfrentam aumentos em incidentes de ransomware

Nos últimos 12 meses, os ataques contra municípios aumentaram ligeiramente, mas os ataques contra instituições de ensino mais que dobraram, enquanto os ataques contra empresas de saúde e financeiras triplicaram. Ao mesmo tempo, os ataques contra infraestrutura crítica quadruplicaram, um sinal de que gangues de criminosos cibernéticos e estados-nação hostis estão procurando causar o máximo de danos colaterais possíveis além do impacto na vítima inicial.

VEJA: Como proteger sua organização contra ataques de ransomware como serviço (TechRepublic)

Além dos cinco setores mais visados, outros setores sofreram seu próprio impacto de ataques de ransomware. Os provedores de serviços responderam por 14% dos ataques analisados ​​pelo Barracuda. Oferecendo assistência de TI e outros tipos de serviços de negócios, essas organizações são alvos devido ao o que mantêm a clientes e clientes, os quais podem ser afetados por um ataque de ransomware.

Os incidentes de ransomware contra empresas automobilísticas, empresas de hospitalidade, empresas de mídia, empresas de varejo, fornecedores de software e organizações de tecnologia também aumentaram nos últimos 12 meses.

Ransomware em ação

Para ilustrar como o ransomware geralmente funciona, o relatório da Barracuda destacou ataques contra três empresas diferentes.

BlackMatter

Em um incidente de agosto de 2021, invasores do grupo de ransomware BlackMatter enviaram a uma organização um e-mail de phishing projetado para comprometer as contas dos funcionários. Obtendo o à rede, os criminosos conseguiram escanear e se mover lateralmente dentro da rede, instalando ferramentas de hacking e roubando dados confidenciais.

Ao receber um pedido de resgate em setembro de 2021, a empresa entrou em contato com seu provedor de serviços gerenciados, que pediu ajuda à Barracuda. Depois que os sistemas infectados foram isolados e as senhas redefinidas, os sistemas criptografados foram recriados a partir do backup. A empresa conseguiu negociar o resgate pela metade da demanda original, mas os invasores ainda vazaram os dados roubados.

Karakurt

Em um incidente de outubro de 2021, o Karakurt Data Extortion Group lançou um ataque de força bruta na página de da VPN de uma organização. O ataque ajudou os criminosos cibernéticos a comprometer vários controladores de domínio e usar o RDP para ar os sistemas comprometidos. No mês seguinte, os invasores começaram a modificar as regras do firewall.

Depois que o pedido de resgate chegou em janeiro de 2022, Barracuda encontrou e bloqueou os indicadores de comprometimento (IOCs), redefiniu a conta vitimada e criou regras dedicadas de gerenciamento de eventos e informações de segurança (SIEM). Ainda assim, os dados roubados vazaram online em fevereiro.

LockBit

E em outro incidente, os invasores do grupo de crimes cibernéticos LockBit conseguiram usar credenciais roubadas para entrar na página de da VPN de uma empresa que não possuía MFA. Usando scripts maliciosos do PowerShell e instalando DLLs de nível de sistema (bibliotecas de links dinâmicos), os criminosos cibernéticos roubaram mais credenciais e aram senhas de chave.

Os invasores também comprometeram um PC com Windows 7, que a Microsoft não a mais com atualizações de segurança. Depois de receber o pedido de resgate, a empresa procurou ajuda, levando à quarentena de arquivos suspeitos e à reconstrução do Active Directory.

Barracuda oferece dicas para combater ataques de ransomware

Os três incidentes citados no relatório compartilharam alguns pontos em comum. Os ataques foram realizados ao longo de vários meses, em vez de apenas uma semana ou um único dia. As VPNs são sempre um alvo popular, pois podem facilmente levar os invasores a ativos de rede críticos, e as credenciais foram roubadas por meio de ataques de phishing ou compradas na dark web.

VEJA: Treine para algumas das principais credenciais de segurança cibernética de hoje por US $ 39 (TechRepublic Academy)

As credenciais da conta de email vinculadas ao Microsoft 365 para um único logon são convenientes, mas, se comprometidas, podem abrir as comportas para uma rede corporativa.

Para ajudar as organizações a combater esses tipos de ataques de ransomware, o Barracuda oferece várias dicas.

• Desativar macros: Para evitar certos tipos de malware, desative os scripts de macro de arquivos do Microsoft Office enviados por email.
• Segmente sua rede: Garantir que sua rede seja segmentada diminuirá a disseminação de ransomware e impedirá que os ataques se movam lateralmente.
• Livre-se de aplicativos não usados ​​ou não autorizados: Revise e remova qualquer software não autorizado que possa ser usado para comprometimento, prestando atenção especial à área de trabalho remota e aos programas de monitoramento remoto.
• Aprimore os serviços de proteção de aplicativos da Web e APIs: Para defender seus aplicativos da Web contra hackers e bots mal-intencionados, certifique-se de habilitar os serviços de proteção corretos, incluindo aqueles que protegem contra ataques distribuídos de negação de serviço (DDoS).
• Revise as credenciais e o controle de o usados ​​para backups: As credenciais de conta para backups offline e baseados em nuvem devem ser diferentes daquelas para sistemas normais.