Blog WatchGuard

Detecções de ransomware em endpoints aumentam em 627%

Share on LinkedIn Share on X Share on Reddit

O ransomware ainda está presente e crescendo em todo o cenário de ameaças, a ponto de algumas organizações agora incluírem o custo de um ataque de ransomware em seus orçamentos anuais.

Os dados do nosso Internet Security Report - Q4 2022 revelam que as detecções de ransomware em endpoints aumentaram alarmantes 627% em 2022 em comparação com o ano anterior. Embora o ransomware não discrimine por tipo de setor, o relatório mostra claramente que o setor manufatureiro foi o mais afetado em 2022. Os ataques a esses dispositivos aumentaram 87% em 2022 em comparação com 2021 e 72% deles visaram o setor de manufatura, de acordo com um estudo recente sobre ameaças e tendências no espaço de tecnologia operacional (OT).

Quando o ransomware foi criado e como ele evoluiu?

A natureza do ransomware mudou à medida que os cibercriminosos conseguiram refinar suas táticas de extorsão. Por exemplo, em apenas um ano, de 2021 a 2022, o tempo médio para concluir um ataque de ransomware caiu de dois meses para menos de quatro dias. Mas quando esse tipo de ataque cibernético foi criado e como ele evoluiu para a ameaça que conhecemos hoje?

  • 1989: O primeiro ataque de ransomware ocorreu após a conferência de AIDS da Organização Mundial da Saúde em 1989, quando um ator mal-intencionado enviou 20.000 disquetes contendo ransomware que mantinha dados como reféns e exigia um pagamento de $ 189 sob o pretexto de ser uma pesquisa de HIV.
  • 2004 - 2006: Em 2004, uma campanha de phishing com links maliciosos infectou as vítimas por meio de um ataque conhecido como GPCode Archievius que criptografava arquivos em sistemas Windows e exigia US$ 20 pela chave de descriptografia. Em 2006, os autores do ransomware direcionaram seus esforços para Archievius, embora sem sucesso, pois não usaram senhas diferentes para desbloquear os sistemas e os alvos do ataque descobriram esse erro.
  • 2010 - 2015: A década de 2010 viu o surgimento do ransomware de bloqueio vinculado aos primeiros dias das criptomoedas. Em 2011, o WinLock infectou usuários que visitaram sites maliciosos e bloquearam o acesso a seus dispositivos. Em 2012, o primeiro ransomware como serviço (RaaS) surgiu com o malware Reveton, um ataque que se disfarçava de mensagens enviadas por agentes da lei e ameaçava os usuários com sentenças de prisão se não pagassem um resgate em Bitcoin. Em 2013, o sucesso do CryptoLocker, uma variante de bloqueio e criptografia que rendeu a seus autores mais de US$ 27 milhões em pagamentos de ransomware nos primeiros dois meses. Com o SimpleLocker, em 2014, o ransomware deu o salto dos PCs para outros dispositivos, sendo o primeiro ransomware a criptografar arquivos em dispositivos Android. E, em 2015, o LockerPin, que também visava dispositivos móveis, bloqueou os usuários de seus dispositivos e alterou seu PIN.
  • 2016: O malware Petya foi a primeira variante que não criptografava arquivos individuais, pois os hackers conseguiram bloquear todo o disco rígido de suas vítimas mais rapidamente.
  • 2017: Este ano, o ransomware se tornou global graças ao ransomware WannaCry, que afetou centenas de milhares de máquinas em mais de 150 países e em diferentes setores. A variante NotPetya também surgiu este ano, que incorporou novas funções de limpeza que podem excluir e destruir os arquivos dos usuários.
  • 2018-2022: Nos últimos cinco anos, o ransomware evoluiu para sua fase mais prejudicial até agora. Entre os fatores que influenciaram essa transformação estão o uso da dupla extorsão, onde os invasores não apenas criptografam, mas também roubam os dados de suas vítimas, e o big game hunting, ou seja, a busca de grandes empresas como alvo. É importante observar que o aumento da caça de grandes animais não exclui os ataques de ransomware a empresas menores que foram observados no passado.
  • 2022-2023: 2022 foi um ano recorde para detecções de ransomware para a WatchGuard, com um aumento de 627% nas detecções em comparação com 2021. De nossa análise, concluímos que Lockbit é sem dúvida o grupo de ransomware que parece ser o mais bem-sucedido na violação de dados corporativos, através de suas afiliadas. Novas variantes do malware Lockbit estão aparecendo o tempo todo.

As tendências de ransomware são dominadas pelo aumento do ransomware como serviço (RaaS), impulsionado pela crescente disponibilidade de plataformas RaaS que agora oferecem recursos e serviços como personalização de malware, suporte ou um sistema de pagamento de ransomware. Além disso, as explorações de dia zero se tornaram um dos vetores de entrada preferidos para invasores de ransomware. Tecnologias como inteligência artificial e aprendizado de máquina também ganharam espaço nesse setor e são usadas por cibercriminosos para tornar o ransomware mais sofisticado e difícil de detectar. Os invasores aproveitam a automação para reduzir o risco de erro humano, especialmente na fase de penetração, pois geralmente requer um investimento significativo de tempo e esforço. Outra tendência que ganhou força é a personalização desses ataques, onde os atores estudam o perfil de suas vítimas em profundidade e criam uma estratégia hermética para implantar malware. Juntos, esses desenvolvimentos tiveram um grande impacto na indústria de trilhões de dólares que a segurança cibernética representa hoje.

Combatendo o ransomware com segurança de endpoint

Para combater essas tendências, as organizações devem ter controles de segurança avançados para evitar um incidente de forma proativa e desenvolver planos sólidos de continuidade e recuperação de negócios. A implementação de uma solução de segurança de endpoint unificada que combina os recursos de EPP e EDR oferece vantagens ao lidar com ameaças avançadas, como ransomware, fornecendo monitoramento de endpoint contínuo que pode detectar e classificar todas as atividades, revelando e bloqueando comportamentos anômalos de usuários, máquinas e processos.

A solução EPDR da WatchGuard atende a esses critérios enquanto também automatiza os recursos de prevenção, detecção, contenção e resposta de qualquer ameaça avançada. Isso, por sua vez, permite a descoberta proativa de novas técnicas e táticas de ataque cibernético e evasão, o que é um ponto-chave considerando a evolução contínua do ransomware e seu nível de sofisticação cada vez mais avançado.

Se quiser saber mais sobre ransomware e como proteger as empresas desse tipo de ataque, acesse o conteúdo a seguir: