Como é que os gangues de ransomware alistam os infiltrados (e como os impedir)
O ransomware surgiu como uma forma particularmente devastadora de cibercrime, com os criminosos a capitalizarem o valor crescente dos dados, exigindo extorsivamente a sua libertação em troca de pagamento. A frequência destes ataques atingiu proporções alarmantes, com alguns grupos de ransomware a explorarem mesmo pessoal interno para promoverem os seus objectivos nefastos.
Para mitigar o risco de ransomware, as empresas devem agora alargar as suas medidas de segurança para além das ameaças externas e ter também em conta os ataques internos.
Porque é que os gangues de ransomware querem os infiltrados?
A utilização de funcionários na prática de um ato criminoso pode servir como um meio eficaz de levantar alertas, pelo que pode parecer contra-intuitivo para os gangues de ransomware empregarem esta estratégia. No entanto, as acções de indivíduos internos aumentam frequentemente a probabilidade de sucesso de tais operações.
É amplamente reconhecido que as ameaças internas, normalmente designadas por “insiders”, representam um risco maior do que as ameaças externas. Isto deve-se ao facto de os insiders já possuírem acesso privilegiado a informações sensíveis e de as empresas não darem muitas vezes prioridade às medidas de segurança interna. Consequentemente, os funcionários podem, sem saber, ajudar os cibercriminosos a executar ataques de ransomware, instalando software malicioso nos seus computadores de trabalho. Em vez de terem de violar sistemas de segurança robustos, os criminosos podem explorar a confiança e a relação que estabelecem com os empregados através de canais de comunicação aparentemente inócuos.
A perspetiva de violar medidas robustas de cibersegurança torna-se mais difícil, enquanto a suscetibilidade dos seres humanos à manipulação permanece inalterada. Consequentemente, infiltrar-se numa organização através do recrutamento de um colaborador interno é o método preferido para executar uma campanha de ransomware lucrativa.
Métodos de recrutamento interno
Livrar-se de agentes maliciosos que utilizam a assistência interna para promover as suas actividades nefastas é uma tarefa árdua que requer uma compreensão abrangente do seu modus operandi. Felizmente, existem várias estratégias que se revelaram eficazes no combate a essas práticas.
Engenharia social
O phishing e outras formas de engenharia social são normalmente utilizados em ataques de ransomware, o que não é surpreendente dada a sua eficácia. Convencer um indivíduo insuspeito a ajudar, sem saber, num ato criminoso é significativamente mais simples do que confrontá-lo diretamente. Os cibercriminosos utilizam frequentemente estas tácticas para persuadir os empregados a instalar secretamente software malévolo nos seus dispositivos.
A infiltração através de comunicações electrónicas é um modus operandi comum para ataques de ransomware, implicando frequentemente ligações ou anexos que parecem ser autênticos num e-mail ou mensagem. Ao clicar nesse conteúdo, o software malicioso é instalado no dispositivo comprometido. Esta técnica não só proporciona aos cibercriminosos uma entrada não autorizada, como também evita a necessidade de coação de cúmplices.
Contacto Direto
Os grupos de ransomware também se tornaram mais directos nos últimos anos. De acordo com o Bravura Security , um número chocante de 65% dos profissionais de TI afirma que os criminosos os contactaram diretamente ou aos seus funcionários para os ajudarem num ataque de ransomware - um aumento de 17% em relação aos níveis de 2021.
As táticas utilizadas pelos autores de ransomware são muitas vezes semelhantes às utilizadas em esquemas de phishing e podem envolver o contacto por correio eletrónico ou telefone, bem como através de plataformas de redes sociais. Em muitos casos, os criminosos tentam coagir indivíduos insuspeitos a ajudar na instalação do ransomware, oferecendo incentivos monetários substanciais, tais como grandes somas de dinheiro, moedas digitais ou mesmo uma parte do pagamento do resgate.
Crowdsourcing
Os analistas de segurança observaram que certos grupos de ransomware estão a utilizar tácticas de crowdsourcing nas suas operações. Estes cibercriminosos publicam frequentemente apelos em fóruns de acesso livre ou plataformas de mensagens encriptadas como o Telegram, solicitando a indivíduos com conhecimentos internos que comuniquem com eles. Em alguns casos, podem até realizar inquéritos públicos sobre potenciais alvos ou dados a divulgar.
Estas mensagens públicas chegam a um público mais vasto, aumentando potencialmente as hipóteses de obter ajuda interna. De acordo com o Comparitech , um resgate médio é superior a 2 milhões de dólares, os gangs de ransomware ganharão mais do que o suficiente com um ataque bem sucedido para pagar também a vários colaboradores.
Exemplos de insiders que ajudam os atacantes de ransomware
Ataques como este têm como alvo algumas das empresas mais conhecidas do mundo. Em 2021, a AP News informou que um cibercriminoso ofereceu a um funcionário da Tesla 500.000 dólares para instalar ransomware nos computadores da empresa. Neste caso, o funcionário comunicou o incidente em vez de aceitar o dinheiro, mas este facto realça a escala destes ataques.
Outras empresas tiveram menos sorte. Em 2019, um ex-funcionário descontente da empresa de apoio técnico Asurion recebeu 50 000 dólares por dia do seu antigo empregador depois de roubar dados sobre milhões de clientes (conforme Bitdefender ).As autoridades policiais conseguiram apanhar o antigo trabalhador, mas não depois de a empresa já ter gasto milhares em pagamentos de resgate.
É importante notar que, embora estes ataques se tenham tornado mais comuns, também não são necessariamente novos. De acordo com o the FBI , um engenheiro da Boeing roubou centenas de milhares de documentos entre o final dos anos 70 e o início dos anos 2000, enquanto recruta para as agências de informação chinesas. Este caso é anterior ao ransomware, mas exemplifica como podem ser extremas as ameaças internas que trabalham para potências externas.
Como evitar ameaças internas de ransomware
Evitar a colaboração interna com autores de ransomware exige a máxima vigilância por parte das organizações. Para o efeito, existem várias medidas essenciais que as empresas devem adotar.
Criar uma cultura positiva no local de trabalho
Um dos principais passos na prevenção de ciberataques, como os perpetrados por grupos de ransomware, é garantir que os funcionários estão satisfeitos com o seu trabalho. Um trabalhador insatisfeito tem mais probabilidades de sucumbir à tentação e ajudar os atacantes a comprometer os sistemas da sua organização. Por conseguinte, a promoção de um ambiente de trabalho positivo pode reduzir significativamente este risco.
A remuneração competitiva é uma parte importante da satisfação dos trabalhadores, mas não é tudo. Um relatório Gallup mostra que apenas 28% dos empregados citam a remuneração e os benefícios como a maior mudança que tornaria o seu local de trabalho ótimo, em comparação com 41% que citam questões de envolvimento e cultura. Trabalhar com os empregados para garantir que se sintam respeitados, seguros e acarinhados será um grande passo em frente.
Formar os funcionários
As organizações devem dar formação ao seu pessoal para identificar e mitigar potenciais ameaças decorrentes de tácticas de engenharia social, que são frequentemente a fonte de ataques internos de ransomware resultantes de acções não intencionais, como clicar em ligações de phishing. Para uma prevenção eficaz, é necessário educar os funcionários para reconhecerem comportamentos suspeitos e comunicarem imediatamente quaisquer casos suspeitos.
O phishing é frequentemente indicado por erros ortográficos, um sentido de urgência invulgar e circunstâncias que parecem demasiado boas para serem verdadeiras. Regra geral, os empregados devem abster-se de clicar ou responder a quaisquer comunicações não solicitadas e nunca devem divulgar dados sensíveis por correio eletrónico.
Implementar segurança Zero-Trust
A implementação de um protocolo de segurança Zero-Trust constitui uma medida indispensável para evitar a ameaça de ataques de ransomware internos.Esta estratégia considera todos os objectos e indivíduos como potencialmente malévolos e exige uma validação rigorosa em todas as fases antes de lhes dar acesso. Além disso, restringe o acesso para que cada trabalhador possa ver apenas os objectos necessários para as suas funções.
Embora a implementação destes modelos de segurança possa apresentar maiores desafios face aos métodos convencionais, continuam a ser o meio mais eficaz de combate às ameaças internas. Isto porque, mesmo com autorização, os insiders só podem aceder a uma gama restrita de recursos, tornando inviável para um adversário justificar o investimento numa campanha de ransomware dirigida a vários funcionários ou departamentos.
As ameaças de ransomware internas são geríveis
O facto de os grupos de ransomware recorrerem à ajuda de pessoal interno não é um desenvolvimento novo, mas a sua prevalência tem vindo a aumentar. Este fenómeno merece atenção, embora a capacidade de nos protegermos contra ele continue a ser viável.
Os recentes incidentes de ataques de ransomware internos sublinham a importância de ter cautela no que diz respeito à cibersegurança. A ameaça pode emanar de qualquer lado, incluindo de pessoal de confiança, o que exige a implementação de medidas de segurança robustas para minimizar a vulnerabilidade.