As técnicas de ransomware estão a mudar. Estarão os MSPs reparados para essa mudança?
O ransomware está a evoluir – não a desaparecer. Apesar da diminuição nas deteções de ataques com base na telemetria dos Firebox da WatchGuard, os dados de sites de extorsão e as notícias relatadas pelos media contam uma história diferente: a atividade de ransomware está, na realidade, a aumentar, tanto em termos trimestrais como anuais. O número de grupos de ransomware ativos também está a crescer, assim como o valor médio exigido pelos resgates. De facto, o pagamento típico disparou de 400 mil dólares em 2023 para 2 milhões em 2024 – um aumento impressionante de 500%.
Os atacantes estão a tornar-se mais seletivos e estratégicos. Muitos grupos operam atualmente sob o modelo ransomware-as-a-service (RaaS), aperfeiçoando as suas táticas para maximizar os lucros com menos vítimas – mas com maior impacto. O roubo de dados sem recurso a encriptação está também a tornar-se uma técnica comum de pressão. Incidentes como o ataque do grupo Clop à cadeia de fornecimento do MOVEit demonstram quão furtivas, direcionadas e complexas se tornaram hoje as operações de ransomware.
A mudança de abordagem no ransomware
Os atacantes estão a adotar novas práticas que redefinem a forma como escolhem os seus alvos e executam as campanhas de ransomware. Para os fornecedores de serviços geridos (MSP), compreender esta mudança permite ajustar as suas estratégias de defesa e proteger os clientes. As principais alterações incluem:
- Expansão do modelo ransomware-as-a-service (RaaS): esta abordagem continua a difundir-se, permitindo que agentes maliciosos sem conhecimentos técnicos avançados tenham acesso a kits e serviços prontos a lançar campanhas de ransomware, contribuindo para a diversificação dos ataques.
- Maior protagonismo de grupos como Ransomhub e Clop: após a queda do LockBit, estas redes consolidaram-se como as mais ativas, direcionando os ataques a grandes organizações.
- Ataques à cadeia de abastecimento: a exploração de vulnerabilidades em soluções amplamente utilizadas permite aos cibercriminosos comprometer inúmeras empresas a partir de um único ponto de entrada. O ataque ao MOVEit é um exemplo claro.
- Exfiltração de dados como técnica dominante de extorsão: os grupos estão cada vez mais focados no roubo de informação sensível e confidencial, ameaçando divulgá-la como forma de pressão sobre as vítimas. A encriptação tradicional dos sistemas foi relegada para segundo plano.
- Encriptação do tráfego de rede cada vez mais utilizada pelos atacantes: de acordo com o mais recente Internet Security Report, 71% do malware atual é distribuído através de ligações encriptadas (TLS). Isto torna indispensáveis tecnologias como a inspeção profunda de pacotes (Deep Packet Inspection – DPI) e a análise comportamental para detetar ameaças que, de outra forma, passariam despercebidas.
Perante um cenário de ransomware cada vez mais sofisticado, que procura maximizar o impacto enquanto reduz o número de vítimas, os MSP devem adotar uma abordagem que lhes permita isolar rapidamente os incidentes e impedir a sua propagação. Em conjunto com soluções robustas de segurança de rede e de endpoints, medidas como a microsegmentação da rede, o controlo rigoroso do tráfego interno e a proteção individualizada de cada endpoint são cruciais para reforçar a capacidade de resposta e mitigar o impacto destes ataques.
A utilização de ferramentas que conciliem eficiência e flexibilidade, alinhadas com as reais necessidades de segurança e a lógica do negócio, pode fazer toda a diferença para os MSP. Esta estratégia permite manter um nível constante de proteção e antecipar as técnicas de ataque mais recentes, salvaguardando a continuidade das operações das organizações que dependem dos seus serviços.
