Hacker divulga informações confidenciais e expõe falhas em líder do mercado de segurança.
Em um golpe chocante para a indústria de cibersegurança, a Fortinet, uma das principais empresas do setor, confirmou na quinta-feira (12) que foi vítima de um ataque cibernético massivo. O incidente, apelidado de “Fortileak”, resultou no vazamento de 440 GB de dados confidenciais. O hacker responsável, conhecido como “Fortibitch”, divulgou os dados roubados em um fórum online, expondo falhas cruciais na segurança da gigante da cibersegurança.
Como o ataque ocorreu?
O ataque explorou uma vulnerabilidade no Azure SharePoint, ferramenta da Microsoft utilizada pela empresa, permitindo que o hacker acessasse uma quantidade massiva de dados confidenciais. As informações vazadas incluem credenciais de acesso, dados de clientes e informações internas sobre as recentes aquisições da empresa, como a Next DLP e a Lacework.
O responsável ainda debochou online
O hacker se pronunciou sobre o ataque em um fórum online, em um tom desafiador, o hacker afirmou que o CEO da Fortinet, Ken Xie, não quis nem ouvir falar em negociação de resgate. Em um post repleto de provocações, o hacker zombou de Xie, dizendo que o CEO “preferiria qualquer coisa a pagar um centavo” (As palavras escolhidas pelo indivíduo foram diferentes e ofensivas). Ele também ironizou a falta de transparência da Fortinet, questionando a ausência de um comunicado oficial sobre o incidente, mas a empresa não demorou a responder.
A resposta da Fortinet
Apesar do incidente, a Fortinet afirma que suas operações, produtos e serviços não foram comprometidos e que não há evidências de atividades maliciosas decorrentes do vazamento. A empresa já iniciou uma investigação interna para apurar as causas do ataque e tomar as medidas necessárias para fortalecer sua segurança.
A Fortinet também entrou em contato com os clientes afetados para prestar suporte e auxiliar na mitigação de quaisquer riscos. A empresa ressalta que menos de 0,3% de sua base de clientes foi impactada pelo incidente.
O ataque à Fortinet serve como um alerta para todas as empresas, independentemente do seu tamanho ou setor. A cibersegurança é uma batalha constante e nenhuma organização está imune a ataques. É fundamental que as empresas invistam em medidas de segurança robustas e atualizadas para proteger seus dados e os dados de seus clientes.
O impacto do vazamento
O vazamento de dados da Fortinet tem implicações significativas para a empresa, seus clientes e o mercado de cibersegurança como um todo. Os clientes afetados estão expostos a um risco elevado de ataques de phishing, fraudes e outros crimes cibernéticos. Além disso, a reputação da Fortinet como líder em segurança cibernética foi severamente abalada,embora a empresa não tenha detalhado o conteúdo exato dos arquivos roubados, a situação acaba levantando questionamentos sobre a eficácia de seus próprios produtos e serviços.
O que aprendemos com esse incidente:
Nenhuma empresa está imune: Mesmo gigantes da cibersegurança podem ser alvo de ataques sofisticados.
A importância da nuvem: A maioria dos dados da Fortinet estava armazenada na nuvem, o que destaca a necessidade de medidas de segurança robustas para ambientes em nuvem.
A necessidade de vigilância constante: As ameaças cibernéticas estão em constante evolução, e as empresas precisam estar sempre atentas a novas vulnerabilidades e ameaças.
A importância da transparência: A empresa foi transparente ao comunicar o incidente, o que é fundamental para construir confiança com os clientes.
O ataque à Fortinet é um lembrete de que a cibersegurança é uma responsabilidade de todos. Empresas, governos e indivíduos precisam trabalhar juntos para desenvolver soluções mais eficazes contra as ameaças cibernéticas em constante evolução.
Um novo recorde de pagamento de resgate foi registrado por pesquisadores de segurança cibernética. O grupo Dark Angels, conhecido por atacar empresas de diversos setores, incluindo saúde, governo, finanças e educação, recebeu a quantia astronômica de US$ 75 milhões.
De acordo com o relatório Ransomware Report 2024 da Zscaler’s ThreatLabz, os criminosos digitais têm se especializado em roubar grandes volumes de dados – entre 1 e 10 terabytes na maioria dos casos. Para grandes empresas, essa cifra pode chegar a impressionantes 100 terabytes.
O relatório alerta que o Dark Angels, classificado entre as cinco principais ameaças de ransomware, deve se tornar ainda mais perigoso no próximo ano. A preocupação é que outros grupos criminosos imitem suas táticas, visando alvos lucrativos e roubando grandes quantidades de dados para maximizar seus ganhos.
O setor de energia, por exemplo, viu um aumento de 527% nos ataques de ransomware em comparação ao ano anterior. A Zscaler também registrou um aumento de quase 18% nos ataques bloqueados e um crescimento de 57,8% no número de empresas extorquidas e expostas em sites de vazamento de dados.
A exploração de vulnerabilidades do sistema continua sendo uma estratégia comum entre os cibercriminosos, enquanto o uso de engenharia social por voz ganha força. Grupos como Scattered Spider e Qakbot são exemplos de sucesso nesse tipo de ataque.
Deepen Desai, chefe de segurança da Zscaler, afirma que a combinação de ransomware-as-a-service, ataques zero-day em sistemas legados, aumento de phishing e ameaças impulsionadas por inteligência artificial resultou nesse recorde de pagamento de resgate. Ele enfatiza a importância da adoção de uma arquitetura Zero Trust para fortalecer a segurança contra ransomware.
O Reino Unido permanece entre os cinco países mais visados por ransomware. Um estudo recente revelou que os custos de recuperação para os setores de energia e água quadruplicaram no último ano, atingindo a cifra de £2,3 milhões.
Apesar da intensificação das ações policiais, especialistas temem que o cibercrime evolua para métodos ainda mais agressivos, incluindo violência física.
Imagine chegar à escola, ao consultório médico ou à farmácia e ouvir: “Lamentamos, mas nossos sistemas estão fora do ar”. Os culpados frequentes são grupos de cibercriminosos operando do outro lado do mundo, exigindo pagamento para liberar o acesso aos sistemas ou devolver dados roubados.
A ascensão do Ransomware: Uma indústria invisível
A epidemia de ransomware não dá sinais de desaceleração em 2024 e, ao contrário, especialistas temem que possa estar entrando em uma fase mais violenta.
“Definitivamente não estamos vencendo a luta contra o ransomware no momento”, afirma Allan Liska, analista de inteligência de ameaças da Recorded Future.
O ransomware pode ser considerado o principal cibercrime da última década, com criminosos visando uma ampla gama de vítimas, incluindo hospitais, escolas e governos. Os invasores criptografam dados críticos, paralisando a operação da vítima, e depois a extorquem com a ameaça de liberar informações confidenciais. Esses ataques tiveram sérias consequências. Em 2021, a Colonial Pipeline Company foi alvo de ransomware, forçando a empresa a interromper o fornecimento de combustível e levando o presidente dos EUA, Joe Biden, a implementar medidas emergenciais para atender à demanda. Mas os ataques de ransomware são eventos diários em todo o mundo – na semana passada, hospitais no Reino Unido foram atingidos – e muitos deles não chegam às manchetes.
“Há um problema de visibilidade dos incidentes; a maioria das organizações não os divulga ou relata”, diz Brett Callow, analista de ameaças da Emsisoft. Ele acrescenta que isso torna “difícil avaliar a tendência” mês a mês.
Os pesquisadores são obrigados a confiar em informações de instituições públicas que divulgam ataques, ou até mesmo dos próprios criminosos. Mas “criminosos são mentirosos inveterados”, afirma Liska.
Tudo indica que o problema não vai desaparecer e pode até estar se acelerando em 2024. De acordo com um relatório recente da empresa de segurança Mandiant, subsidiária do Google, 2023 foi um ano recorde para o ransomware. Os relatórios indicam que as vítimas pagaram mais de US$ 1 bilhão a gangues – e esses são apenas os pagamentos que temos conhecimento.
A escalada do crime digital
Uma importante tendência identificada no relatório foi o aumento das publicações por gangues nos chamados “sites de shaming”, onde os invasores vazam dados como parte de uma tentativa de extorsão. Houve um salto de 75% nas publicações em sites de vazamento de dados em 2023 em comparação com 2022, de acordo com a Mandiant. Esses sites empregam táticas chamativas como contagens regressivas para quando os dados confidenciais das vítimas serão tornados públicos se elas não pagarem. Isso ilustra como as gangues de ransomware estão aumentando a severidade de suas táticas de intimidação, disseram especialistas à WIRED.
“De modo geral, suas táticas estão se tornando cada vez mais brutais”, diz Callow.
Por exemplo, os hackers também começaram a ameaçar diretamente as vítimas com ligações telefônicas ou e-mails intimidados. Em 2023, o Fred Hutchinson Cancer Center em Seattle foi atingido por um ataque de ransomware, e pacientes com câncer receberam e-mails individualmente com a ameaça de divulgar suas informações pessoais se não pagassem.
“Minha preocupação é que isso se transforme em violência no mundo real em breve”, diz Callow. “Quando há milhões para serem obtidos, eles podem fazer algo ruim a um executivo de uma empresa que se recusa a pagar, ou a um membro de sua família.”
Embora ainda não tenha havido nenhum relato de violência resultante de um ataque de ransomware, as gangues têm usado a ameaça como tática. “Vimos em negociações vazadas que eles sugeriram que poderiam fazer algo assim, dizendo: ‘Nós sabemos onde seu CEO mora’”, diz Liska.
A ameaça à vida humana de dentro da internet
Falando da abordagem insensível dos criminosos em relação à vida e à morte, vale a pena notar que os pesquisadores estimam que, entre 2016 e 2021, os ataques de ransomware mataram entre 42 e 67 pacientes do Medicare devido ao ataque a hospitais e ao atraso de tratamentos essenciais.
Liska observa que as gangues de ransomware não operam no vácuo. Seus membros se sobrepõem a entidades como “The Comm”, uma rede global frouxa de criminosos que se organizamonline e oferecem violência como serviço, além de crimes cibernéticos mais tradicionais, como troca de SIM. Membros do Comm anunciam sua disposição de espancar pessoas, atirar em casas e postar vídeos macabros que supostamente retratam atos de tortura. No ano passado, a 404 Media relatou que membros do Comm estão trabalhando diretamente com grupos de ransomware como o AlphV, uma notória entidade que auxiliou em um ataque de alto perfil ao MGM Casinos antes que o FBI interrompesse suas operações ao desenvolver uma ferramenta de descriptografia e apreender vários sites – apenas para retornar meses depois com um ataque à Change Healthcare que interrompeu serviços médicos nos Estados Unidos.
“Isso me deixa muito preocupado”, diz Liska sobre a ligação entre gangues de ransomware e cibercriminosos violentos.
Operação Cronos
A aplicação da lei teve algum sucesso recente em interromper, se não erradicar completamente, os grupos de ransomware. Em fevereiro, uma colaboração internacional apelidada de Operação Cronos interrompeu a prolífica operação de ransomware LockBit apreendendo seus sites e oferecendo descriptografia gratuita às vítimas. As autoridades também prenderam dois supostos afiliados do grupo que estavam baseados na Ucrânia e na Polônia.
Reduzir o volume de ataques de ransomware tem sido difícil em parte porque as gangues de ransomware – que funcionam quase como startups, às vezes oferecendo um serviço de assinatura e suporte 24 horas por dia, 7 dias por semana para seu software enquanto recrutam afiliados para realizarem ataques – frequentemente estão baseadas na Rússia. Isso levou a aplicação da lei ocidental a virar as táticas de intimidação e jogos mentais das próprias gangues contra elas.
Por exemplo, a Operação Cronos usou um cronômetro de contagem regressiva no estilo de um site de shaming de ransomware para revelar a identidade do suposto chefe da LockBit, o cidadão russo de 31 anos Dmitry Khoroshev. Ele também foi acusado em uma acusação de 26 acusações por promotores dos EUA e sancionado. Como Khoroshev aparentemente está na Rússia, é improvável que seja preso a menos que deixe o país. Mas revelar sua identidade ainda pode ter o efeito de interromper ainda mais sua operação de ransomware, corroendo a confiança dos afiliados nele e colocando-o na mira.
“Há muitas pessoas que vão querer colocar as mãos em parte do dinheiro dele”, diz Callow. “Haverá pessoas dispostas a dar uma surra nele e arrastá-lo pela fronteira para um país do qual possa ser extraditado.” Afiliados também podem estar preocupados com a possibilidade de sua prisão se ele deixar a Rússia voluntariamente.
“A aplicação da lei está se adaptando para informá-los de que são vulneráveis”, diz Liska.
Outro obstáculo para controlar o ransomware é a natureza de hidra dos afiliados. Após a interrupção do LockBit, os analistas viram 10 novos sites de ransomware surgirem quase imediatamente. “Isso é mais do que vimos em um período de 30 dias em qualquer momento”, diz Liska.
A luta contra os cibercriminosos
Créditos: SurfShark
A aplicação da lei também está se adaptando a essa realidade. Em maio, uma colaboração internacional chamada Operação Endgame anunciou que havia interrompido com sucesso várias operações que distribuíam “droppers” de malware. Droppers são uma parte importante do ecossistema do cibercrime, pois permitem que hackers entreguem ransomware ou outro código malicioso sem serem detectados. A Operação Endgame resultou em quatro prisões na Armênia e na Ucrânia, derrubou mais de 100 servidores e apreendeu milhares de domínios. O Endgame empregou táticas psicológicas semelhantes à Operação Cronos, como uma contagem regressiva para vídeos chamativos contendo texto em russo e incentivando os criminosos a “pensar em (seu) próximo movimento”.
Embora a escala do problema do ransomware possa parecer difícil de controlar, tanto Liska quanto Callow dizem que não é impossível. Callow diz que a proibição de pagamento a gangues de ransomware faria a maior diferença. Liska estava menos entusiasmado com a perspectiva de uma proibição de pagamento, mas sugeriu que as ações contínuas da aplicação da lei poderiam, eventualmente, causar um impacto real.
“Falamos muito em ‘bate-um-topo’ quando se trata de grupos de ransomware – você derruba um e outro aparece”, diz Liska. “Mas acho que o que essas operações [de aplicação da lei] estão fazendo é diminuir o tabuleiro. Então, sim, você derruba um e outro aparece. Mas você acaba, com sorte, com cada vez menos deles surgindo.”
Uma batalha constante contra a evolução do crime
A luta contra o ransomware é complexa e em constante evolução. Embora as forças policiais estejam obtendo algumas vitórias, como a Operação Cronos e a Operação Endgame, o problema continua a crescer. A natureza fragmentada das gangues de ransomware, com afiliados independentes e frequentemente baseados em países onde a aplicação da lei é fraca, torna o combate ainda mais desafiador.
Além disso, a crescente colaboração entre gangues de ransomware e grupos de crime violento como “The Comm” levanta preocupações sérias sobre uma possível escalada da violência. Especialistas como Liska apontam para o aumento do uso de táticas de intimidação por ransomware, como vazamentos de dados e ameaças diretas, como sinais preocupantes nesta direção.
Apesar dos desafios, especialistas como Callow oferecem um lampejo de esperança. Ele acredita que proibir pagamentos a ransomware poderia ser uma medida altamente eficaz. Liska, embora menos convicto sobre a proibição, sugere que as contínuas ações de combate por parte das autoridades policiais, como expor a liderança de gangues e interromper infraestruturas, podem gradualmente enfraquecer o ecossistema do ransomware.
No fim das contas, a batalha contra o ransomware exigirá uma abordagem multifacetada. A cooperação internacional entre as forças policiais é essencial para rastrear e prender afiliados de ransomware. Além disso, as empresas e organizações precisam investir em melhores práticas de segurança cibernética para dificultar os ataques iniciais.
O futuro do ransomware permanece incerto. No entanto, a conscientização pública sobre a gravidade da ameaça e a crescente determinação das autoridades policiais oferecem alguma esperança de que a maré possa começar a virar contra esse cibercrime devastador.
No cenário cada vez mais complexo das ameaças cibernéticas, o ransomware se destaca como um dos métodos mais temidos e lucrativos para os cibercriminosos. Entre os diversos grupos que operam nesse ramo, o Akira ransomware se destaca por sua combinação de táticas tradicionais com ferramentas menos comuns, tornando-o uma ameaça significativa para empresas de todos os portes.
Origens e características do Akira
O Akira ransomware surgiu no início de 2023 e rapidamente se consolidou como um dos principais atores no cenário do ransomware. Seu nome faz referência ao filme anime de mesmo nome, lançado em 1988, e a estética cyberpunk do filme é refletida no site de vazamento de dados do grupo.
O Akira ransomware opera em sistemas Windows e Linux, utilizando o algoritmo ChaCha20 para criptografar os dados das vítimas. O grupo se destaca por sua abordagem multifacetada, combinando métodos tradicionais de exploração de vulnerabilidades com ferramentas menos comuns, como o FTP para exfiltrar dados.
Táticas, alvos e impacto
O Akira ransomware utiliza diversas táticas para infectar seus alvos, incluindo:
E-mails de phishing: Mensagens fraudulentas com anexos maliciosos ou links que redirecionam para sites comprometidos.
Exploração de vulnerabilidades: Ataques a softwares com falhas conhecidas para obter acesso aos sistemas.
Ataques de força bruta: Tentativas repetidas de adivinhar senhas fracas para acessar sistemas.
Os alvos do Akira ransomware são diversos, mas o grupo se concentra principalmente em grandes empresas nos setores de educação, finanças, manufatura e saúde. O objetivo é extorquir grandes quantias em dinheiro das vítimas, ameaçando publicar seus dados confidenciais na internet caso o resgate não seja pago.
O impacto de um ataque de ransomware pode ser devastador para as empresas, causando perda de dados, interrupções nas operações, danos à reputação e prejuízos financeiros significativos. Em alguns casos, o pagamento do resgate não garante a recuperação dos dados, e as empresas podem ainda sofrer sanções legais por violações de dados.
Como se prevenir
Para se proteger contra o Akira ransomware e outros grupos de ransomware, as empresas devem implementar medidas de segurança robustas, incluindo:
Manter softwares atualizados: Aplicar todas as atualizações de segurança para sistemas operacionais, softwares e aplicativos.
Implementar soluções de segurança abrangentes: Utilizar antivírus, firewalls e outras ferramentas de segurança para detectar e bloquear ameaças.
Realizar backups regulares: Fazer backups de dados críticos regularmente para garantir a recuperação em caso de ataque.
Caso você tenha uma empresa:
Treinar funcionários sobre segurança cibernética: Conscientizar os funcionários sobre os riscos de ransomware e ensiná-los a identificar e evitar ataques.
Desenvolver um plano de resposta a incidentes: Ter um plano em vigor para responder a ataques de ransomware, incluindo a contenção da ameaça, a recuperação de dados e a comunicação com as autoridades.
O Akira ransomware é uma ameaça séria que deve ser levada a sério por empresas de todos os portes. Ao implementar medidas de segurança adequadas e manter-se vigilante, as empresas podem reduzir significativamente o risco de serem vítimas de um ataque. A colaboração entre empresas, governos e especialistas em segurança cibernética também é crucial para combater o ransomware e proteger o mundo digital.
O que é um Ransomware?
O Ransomware, traduzido como “software de resgate”, é um tipo malicioso de software que invade computadores ou sistemas de rede e criptografa os dados da vítima. Após a criptografia, os arquivos se tornam inacessíveis, impedindo a vítima de trabalhar, acessar informações cruciais ou realizar qualquer atividade que dependa desses dados.
Para recuperar o acesso aos dados, os cibercriminosos por trás do ataque exigem o pagamento de um resgate, geralmente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia. O valor do resgate pode variar de algumas centenas de dólares a quantias exorbitantes, dependendo do alvo e do impacto do ataque.
Veja como funciona o esquema do ransomware:
Infecção: O ransomware pode infectar um dispositivo através de diversas maneiras, como e-mails de phishing com anexos maliciosos, links contaminados, vulnerabilidades em softwares desatualizados ou exploração de falhas de segurança de rede.
Criptografia: Uma vez no sistema, o ransomware vasculha por arquivos importantes e os criptografa, tornando-os ilegíveis. O processo de criptografia pode ser rápido, levando a vítima a perceber a infecção somente quando tenta acessar seus dados.
Demanda de Resgate: Após a criptografia, o ransomware exibe uma mensagem na tela informando que os dados estão bloqueados e exigindo o pagamento de um resgate para recuperá-los. A mensagem geralmente inclui instruções sobre como realizar o pagamento e um prazo para fazê-lo.
Negociação (opcional): Dependendo do grupo de ransomware, pode haver uma opção para a vítima negociar o valor do resgate. No entanto, especialistas em segurança cibernética desencorajam fortemente o pagamento de resgates, pois não há garantia de que os cibercriminosos fornecerão a chave de descriptografia e ainda incentiva a continuidade desses crimes virtuais.
Outros ransomwares conhecidos:
O Akira ransomware, tema central da nossa discussão acima, representa uma séria ameaça no cenário cibernético. No entanto, é crucial reconhecer que ele não atua sozinho. Diversos outros grupos de ransomware operam com objetivos semelhantes, causando danos e prejuízos a empresas e organizações ao redor do mundo.
Para aprofundar nosso conhecimento sobre o panorama do ransomware, vamos explorar alguns dos principais atores nesse campo:
1. LockBit: Um dos grupos de ransomware mais prolíficos e sofisticados da atualidade, o LockBit se destaca por seus ataques direcionados e por sua utilização de um modelo de negócio de ransomware como serviço (RaaS), no qual o malware e a infraestrutura de ataque são disponibilizados para cibercriminosos mediante pagamento.
2. BlackCat: Rivalizando com o LockBit em notoriedade, o BlackCat se concentra em grandes empresas em diversos setores, como manufatura, energia e saúde. O grupo é conhecido por sua persistência e habilidade em evadir sistemas de segurança.
3. REvil: Notoriamente responsável pelo ataque de ransomware contra a Kaseya em 2021, o REvil se destaca por seus ataques de alto impacto e por sua atuação em fóruns da dark web para negociar com vítimas e vender acesso a dados roubados.
4. Maze: O grupo Maze ganhou notoriedade em 2019 por seus ataques contra empresas nos Estados Unidos, incluindo a Hopkinns Johns Hopkins University. O Maze se diferencia por sua abordagem focada em extorsão, ameaçando publicar dados confidenciais das vítimas na internet.
5. DoppelPaymer: Atuando desde 2019, o DoppelPaymer se concentra em alvos de alto valor, como empresas de serviços financeiros e governamentais. O grupo é conhecido por sua capacidade de se adaptar e aprimorar suas táticas, dificultando a detecção e a contenção de seus ataques.
6. GandCrab: Operando entre 2018 e 2019, o GandCrab se destacou por ser um dos primeiros grupos a utilizar o modelo de RaaS. O GandCrab causou danos consideráveis a empresas em diversos setores antes de seus operadores supostamente encerrarem suas atividades.
7. Ryuk: Notoriamente responsável pelo ataque de ransomware contra a Mitsubishi Heavy Industries em 2021, o Ryuk se concentra em grandes empresas nos setores de manufatura, energia e transporte. O grupo é conhecido por sua utilização de malwares sofisticados e por seus ataques direcionados.
8. Sodinokibi: Atuando desde 2019, o Sodinokibi se destaca por sua diversidade de alvos, variando de empresas privadas a instituições governamentais. O grupo é conhecido por sua capacidade de se infiltrar em redes complexas e por sua atuação em fóruns da dark web.
9. Dharma/Crysis: Uma família de ransomware com diversas variantes, o Dharma/Crysis se concentra em pequenas e médias empresas. O grupo é conhecido por sua utilização de e-mails de phishing para distribuir o malware e por sua atuação em fóruns da dark web.
10. SamSam: Notoriamente responsável pelo ataque de ransomware contra a cidade de Baltimore em 2019, o SamSam se concentra em alvos governamentais e em instituições do setor público. O grupo é conhecido por seus ataques de alto impacto e por suas demandas de resgate elevadas.
Conclusão
A lista acima apresenta apenas alguns dos principais grupos de ransomware em atividade. O cenário do ransomware está em constante evolução, com novos grupos surgindo e táticas se aprimorando. É crucial que empresas e organizações de todos os portes estejam cientes das ameaças e adotem medidas de segurança robustas para se proteger contra esses ataques devastadores.
A proteção contra o ransomware é uma responsabilidade compartilhada. Através da colaboração e do compartilhamento de informações, podemos fortalecer nossa defesa contra essa ameaça cada vez mais presente no mundo digital.
