O dia a dia do grupo de ransomware mais perigoso do mundo

O dia a dia do grupo de ransomware mais perigoso do mundo

Pesquisadores da Akamai tiveram acesso a documentos vazados e conseguiram catalogar e analisar as principais técnicas de ataque do grupo de ransomware Conti

O grupo de ransomware Conti, uma extensa rede de cibercriminosos, extorquiu aproximadamente US$ 180 milhões de suas vítimas em 2021, muito mais do que qualquer outro grupo de ransomware no mundo. Recentemente, tiveram suas informações vazadas por um pesquisador de segurança cibernética infiltrado no grupo e que tinha acesso aos arquivos e sistemas de bate-papo internos do Conti. Utilizando uma conta no Twitter (@ContiLeaks), divulgou mais de 60.000 mensagens de bate-papo enviadas entre os membros da gangue, seu código-fonte e dezenas de documentos internos do grupo.

“Entre as informações vazadas estão a hierarquia empresarial do grupo, as personalidades de seus membros, como eles se esquivam da aplicação da lei e detalhes de como negociam os resgates que pedem para as empresas”, conta Helder Ferrão, gerente de marketing de Indústrias da Akamai. “Os pesquisadores de segurança da Akamai revisaram e analisaram a documentação vazada para determinar a amplitude de seu cenário de ataque em relação ao ransomware. A longa lista de TTPs (Terrorist Tactics, Techniques, and Procedures) é um lembrete sério do arsenal que está à disposição de grupos de ataque como o Conti”, diz.

O que é ransomware?

O ataque de ransomware tem como objetivo ‘sequestrar’ informações, impedindo que as empresas tenham acesso aos seus sistemas, para então extorquir seu alvo, no caso, as empresas. Através de um malware (um vírus), o hacker consegue criptografar dados importantes das empresas, tornando-os inacessíveis. Para devolver esses dados, documentos, informações, os cibercriminosos fazem um pedido de resgate (ransom, em inglês). Em alguns casos, os criminosos divulgam partes das informações como forma de ameaça, para pressionar as empresas a pagarem o resgate.

O grupo Conti

A gangue de ransomware Conti funciona como qualquer outra empresa. Possui vários departamentos e colaboradores, RH, administradores, codificadores e pesquisadores. Eles têm políticas sobre como seus hackers devem processar seu código e compartilham as melhores práticas para manter os membros do grupo escondidos das autoridades. Segundo os documentos vazados, o grupo opera praticamente como uma empresa de desenvolvimento de software e, ao que parece, muitos dos programadores têm salários e não participam do resgate pago após o ataque.

“As técnicas de ataque divulgadas são conhecidas e difíceis de parar, motivo provável de porque ainda estejam em uso. O que esses ataques têm em comum são sua eficácia em atingir seu objetivo. Para que as organizações se defendam dessas táticas, elas precisam entender como grupos de ransomware operam, pois isso pode ajudá-las a se defenderem não apenas deles, mas de outros grupos de ransomware como eles”, comenta Ferrão.

Como se proteger desses ataques?

A Akamai Technologies, empresa que protege e potencializa a vida online, divulgou em seu website uma análise detalhada das técnicas usadas por esse e muitos outros grupos e o que as organizações podem implementar hoje para estarem mais preparadas contra grupos de ransomware. Empresas de todos os tamanhos podem ser vítimas de um ataque.

“Analisando a documentação de tempo, entre hackear uma documentação e criptografar essa documentação, fica claro que o principal problema é com hacking (violação de rede, movimento lateral e propagação, evitando detecção) e não apenas com criptografia e exfiltração de dados. As empresas precisam que sua defesa tenha várias camadas, já que não há apenas uma solução que possa mantê-lo imediatamente seguro e protegido. Como podemos ver na metodologia de ataque do grupo, há um processo sofisticado antes que o ransomware seja implantado, o que nos dá muitas oportunidades para detectar e responder ao ataque”, conclui Ferrão.

4 dicas da Akamai de como aumentar a defesa contra ataques de ransomware

1. Certifique-se de incluir segurança cibernética na função que gerencia a mitigação geral de riscos para sua organização. E garanta que sua equipe de liderança tenha experiência em segurança.

2. Não se esqueça de dedicar orçamento e recursos para geração de backup, no caso de um ataque comprometer seus arquivos, e para a segmentação de rede, que evita que um ciberataque se alastre dentro da empresa.

3. Crie planos de resposta antes de um desastre ou evento adverso (como um ataque de ransomware). Estar organizado e preparado significa que você pode reagir com mais rapidez e eficiência.

4. Analise o impacto na segurança sempre que integrar, projetar ou desenvolver novos produtos e serviços. Pergunte a si mesmo: estou abrindo uma nova porta para os invasores?

A segurança deve fazer parte da estratégia, planejamento e orçamento mais amplos de preparação da sua organização. Isso significa aumentar a conscientização com executivos C-level e membros do Conselho e permanecer vigilante sobre os potenciais riscos e o que você precisa para mitigá-los.

Sobre a Akamai

A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, entregar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e jogar todos os dias. Com a plataforma de computação mais distribuída do mundo, da nuvem à edge, nós facilitamos o desenvolvimento e a execução de aplicações para os nossos clientes, enquanto mantemos as experiências mais próximas dos usuários e as ameaças ainda mais distantes. Saiba mais sobre as soluções de segurança, computação e entrega da Akamai em akamai.com/pt e akamai.com/pt/blog ou siga Akamai Technologies no Twitter e LinkedIn.