O volume de ataques de resgate em 2021 aumentou 150% em relação a 2020 e, de acordo com o FBI, 100 tipos diferentes de resgates estavam em circulação em meados de 2021. Os tamanhos de ataque fazem correr a gama, desde pequenos e muito concentrados, até massivos e generalizados. Os senadores Dick Durbin e Chuck Grassley informaram o Senado em Julho de 2021 que 50-75% de todos os ataques de resgate são feitos contra pequenas empresas. A maioria não é reportada, e é por isso que podemos aprender mais com ataques maiores como o contra SolarWinds onde centenas de organizações foram impactadas.
O ransomware é um código de software concebido para bloquear (ou bloquear o acesso a) um sistema informático, rede, arquivos e/ou dados até que a vítima pague uma quantia específica de dinheiro — o resgate.
Até agora, em 2021, houveram vários ataques de ransomware grandes e devastadores. Capturamos os 5 maiores em termos da importância – com base no que significam para a segurança social em 2022. Nessa nota, só porque um ataque resultou em um pagamento maciço de resgate não torna esse ataque devastador ou potencialmente devastador para a sociedade.
Os 5 ataques de resgate mais devastadores em 2021 a partir de 1 de Novembro
1. Ataque DarkSide à Colonial Pipeline Company
A Colonial Pipeline Company soube no início de Maio que tinha sido vítima de um ataque de resgate, interrompendo rapidamente o fornecimento de combustível a uma grande faixa do sudeste dos EUA com potencial para se espalhar até ao norte de Nova Iorque. O ataque de resgate do pipeline Colonial tem sido, de longe, o ataque de maior visibilidade de 2021. Não admira - somos uma sociedade automóvel e os americanos precisam do seu combustível. O Colonial fornece 50% do combustível da Costa Leste.
O que tornou o ataque particularmente perigoso foi a reação dos consumidores. As pessoas entraram em pânico e compraram toda gasolina que podiam armazenar. Além disso, algumas pessoas armazenaram-na em recipientes inseguros, como caixotes de plástico e sacos, que podem explodir em chamas quando contém combustível.
Foi chocante ler as histórias sobre o método do ataque, que não exigia um elevado grau de sofisticação. A Colonial não tinha posto em prática medidas de segurança adequadas, como a autenticação de vários fatores (MFA). Os hackers conseguiram entrar na VPN da empresa com bastante facilidade. Os hackers simplesmente precisaram tentar senhas diferentes para entrar.
Grupos de hackers são encorajados pela facilidade com que uma parte tão vital da infra-estrutura nacional foi invadida. Agora acreditando que podem ser capazes de derrubar infra-estruturas críticas adicionais sem muito esforço em 2022.
Resgate pago: $4.4 milhões
2. Ataque REvil à JBS EUA
Mais tarde em maio, a JBS, a maior fornecedora de carne bovina do mundo, foi atingida por um ataque de ransomware do grupo de ransomware REvil. A divisão norte-americana, a JBS USA, teve de parar completamente as operações devido ao hack. Obviamente, a carne de boi desapareceu de muitas prateleiras de lojas nos Estados Unidos, uma vez que o hack impactou a cadeia de abastecimento que teve origem na JBS USA.
O incidente REvil-JBs sublinha até que ponto a cadeia alimentar dos EUA é vulnerável a um ataque muito mais vasto e agressivo. Podemos ver que um ataque simultâneo, coordenado, patrocinado pelo governo, de vários grandes fornecedores de alimentos pode desencadear uma enorme escassez de alimentos em todo o país.
Embora a JBS tenha afirmado que os seus “sistemas de TI robustos e servidores de backup encriptados” ajudaram a garantir uma recuperação rápida, essa não parece ser a totalidade da causa da recuperação. Mais tarde, em junho, foi revelado pela JBS que eles efetivamente pagaram um resgate significativo para evitar o comprometimento dos dados de empresa, clientes e colaboradores.
Resgate pago: 11 milhões de dólares
3. Ataque de ransomware desconhecido em Escolas Públicas de Buffalo
No dia 12 de março, um ataque de ransomware (de criminosos desconhecidos) atingiu o sistema de Escola Pública de Buffalo, em Nova Iorque. Atualmente, o sistema serve 34 000 alunos. Enquanto o Superintendente das Escolas de Buffalo minimizou o impacto do ataque, uma investigação determinou que os registros em falta incluíam décadas de material didático, registros de alunos e cerca de 5.000 candidaturas para ingresso nas escolas em setembro. Além disso, os sistemas que são essenciais ao funcionamento do distrito, como o jurídico e de contabilidade, tinham sido paralisados, segundo detalhes publicados e um vídeo sobre a matéria pela WGRZ.
Este incidente aponta para um conjunto perturbador de circunstâncias que se aplicam a várias escolas em todo o país. As escolas estão simplesmente com pouco pessoal para segurança de TI, especialmente para cibersegurança. Elas foram alvo de mais de metade do volume de ciberataques a partir de agosto de 2021.
Resgate pago: Desconhecido
4. Ataque da Evil Corp à CNA Financial
A 21 de Março, a CNA Financial, uma das maiores companhias de seguros dos EUA, foi atingida por um ataque de resgate que causou uma grande perturbação na rede. Após seis semanas, a rede da companhia permaneceu menos do que totalmente operacional, apesar de os executivos da terem afirmado, numa declaração , que a companhia tomou "medidas imediatas ao desligar proactivamente [os seus] sistemas" da rede CNA.
O que é mais perturbador neste incidente é que a CNA tinha um ambiente de segurança mais sofisticado que o da maioria das organizações. Mesmo assim, eles ainda foram pirateados. Ironicamente, a companhia oferece seguros cibernéticos. O incidente também revela uma paisagem de ameaça crescente - operações de acesso remoto. Neste caso, os hackers encriptaram 15.000 dispositivos, incluindo os computadores de muitos empregados remotos.
Não estamos 100% certos de que Evil Corp estivesse por detrás do ataque. No entanto, os hackers usaram malware chamado Phoenix Locker, que é o resgate da Evil Corp, chamado 'Hades'. Baseado na Rússia, Evil Corp não está sujeito a sanções dos EUA, e a CNA declarou que os hackers não estavam sujeitos a sanções dos EUA.
Resgate pago: $40 milhões
5. Wizard Spider no Serviço Executivo de Saúde da Irlanda (HSE)
Em 14 de maio, o sistema de saúde para os serviços de saúde públicos, gerenciado pelo governo da Irlanda, teve de encerrar todos os seus sistemas de TI para evitar a propagação de malware. Infelizmente, ele já tinha infiltrado partes da sua rede durante o ataque de ransomware. O HSE demorou até 30 de junho para repor os sistemas de registro online do cartão médico.
Os hackers acessaram informações dos pacientes e da equipe e divulgaram dados sobre os 100.000 funcionários do HSE e milhões de pacientes. Criticamente, parece que os registros médicos, as notas e os históricos de tratamento fazem parte dos dados comprometidos. Um comunicado emitido pelo HSE adianta que os hackers de língua russa tinham deixado aparecer alguns dos dados comprometidos na 'dark web' e que as pessoas estavam sendo afetadas por isso. Na sua atualização de incidentes de cibersegurança de julho, a HSE afirmou que os serviços de saúde ainda estavam sendo gravemente impactados pelo ataque.
Não é necessário dizer que o impacto social das violações do sistema de saúde é enorme. Tanto em termos de informação comprometida como do psicológico da nação. Quem gostaria de acreditar que um grupo estrangeiro hostil sabe tudo sobre o seu historial médico e que poderia publicá-lo abertamente para todos vejam?
Apesar da gravidade da violação, HSE declarou que NÃO pagaria qualquer resgate.
Como a Splashtop pode ajudá-lo a evitar ataques de ransomware
Muitas empresas recorrem à VPN e RDP para possibilitar o trabalho remoto, o que pode expor as suas empresas a ameaças cibernéticas em expansão. Nos últimos anos, a Gartner e muitos especialistas em segurança recomendaram que as empresas se afastem do acesso VPN a nível da rede. Sugeriram um passo para soluções de acesso remoto a nível de aplicação, baseadas em identidade, que abraçam uma estrutura de confiança zero (zero-trust).
A Splashtop fornece uma solução de acesso remoto seguro em nuvem que mantém a sua rede a salvo de hackers. Como isso funciona? A nossa solução nunca permite que as pessoas entrem na sua rede em primeiro lugar. Este é o nosso ingrediente secreto.
A Splashtop monitora continuamente as mais recentes ameaças cibernéticas. Estamos empenhados em proteger os nossos clientes. Para isso, formamos um Conselho Consultivo de Segurança e lançamos um Feed de Segurança para ajudar os profissionais de TI e MSPs a manterem-se a par das vulnerabilidades mais recentes.