O grupo de ransomware Conti, uma extensa rede de cibercriminosos, extorquiu aproximadamente US$ 180 milhões de suas vítimas em 2021, muito mais do que qualquer outro grupo de ransomware no mundo. Recentemente, o grupo teve suas informações vazadas por um pesquisador de segurança cibernética infiltrado e que tinha acesso aos arquivos e sistemas de bate-papo internos do Conti. Utilizando uma conta no Twitter (@ContiLeaks), ele divulgou mais de 60.000 mensagens de bate-papo enviadas entre os membros da gangue, seu código-fonte e dezenas de documentos internos do grupo.
“Entre as informações vazadas estão a hierarquia empresarial do grupo, as personalidades de seus membros, como eles se esquivam da aplicação da lei e detalhes de como negociam os resgates que pedem para as empresas”, conta Helder Ferrão, gerente de marketing de Indústrias da Akamai. “Os pesquisadores de segurança da Akamai revisaram e analisaram a documentação vazada para determinar a amplitude de seu cenário de ataque em relação ao ransomware. A longa lista de TTPs (Terrorist Tactics, Techniques, and Procedures) é um lembrete sério do arsenal que está à disposição de grupos de ataque como o Conti”, diz.
O ataque de ransomware tem como objetivo ‘sequestrar’ informações, impedindo que as empresas tenham acesso aos seus sistemas, para então extorquir seu alvo, no caso, as empresas. Através de um malware (um vírus), o hacker consegue criptografar dados importantes das empresas, tornando-os inacessíveis. Para devolver esses dados, documentos, informações, os cibercriminosos fazem um pedido de resgate (ransom, em inglês). Em alguns casos, os criminosos divulgam partes das informações como forma de ameaça, para pressionar as empresas a pagarem o resgate.
A gangue de ransomware Conti funciona como qualquer outra empresa. Possui vários departamentos e colaboradores, RH, administradores, codificadores e pesquisadores. Eles têm políticas sobre como seus hackers devem processar seu código e compartilham as melhores práticas para manter os membros do grupo escondidos das autoridades. Segundo os documentos vazados, o grupo opera praticamente como uma empresa de desenvolvimento de software e, ao que parece, muitos dos programadores têm salários e não participam do resgate pago após o ataque.
“As técnicas de ataque divulgadas são conhecidas e difíceis de parar, motivo provável de porque ainda estejam em uso. O que esses ataques têm em comum são sua eficácia em atingir seu objetivo. Para que as organizações se defendam dessas táticas, elas precisam entender como grupos de ransomware operam, pois isso pode ajudá-las a se defenderem não apenas deles, mas de outros grupos de ransomware como eles”, comenta Ferrão.
A Akamai Technologies, empresa que protege e potencializa a vida online, divulgou em seu website uma análise detalhada das técnicas usadas por esse e muitos outros grupos e o que as organizações podem implementar hoje para estarem mais preparadas contra grupos de ransomware. Empresas de todos os tamanhos podem ser vítimas de um ataque.
“Analisando a documentação de tempo, entre hackear uma documentação e criptografar essa documentação, fica claro que o principal problema é com hacking (violação de rede, movimento lateral e propagação, evitando detecção) e não apenas com criptografia e exfiltração de dados. As empresas precisam que sua defesa tenha várias camadas, já que não há apenas uma solução que possa mantê-lo imediatamente seguro e protegido. Como podemos ver na metodologia de ataque do grupo, há um processo sofisticado antes que o ransomware seja implantado, o que nos dá muitas oportunidades para detectar e responder ao ataque”, conclui Ferrão.
A segurança deve fazer parte da estratégia, planejamento e orçamento mais amplos de preparação da sua organização. Isso significa aumentar a conscientização com executivos C-level e membros do Conselho e permanecer vigilante sobre os potenciais riscos e o que você precisa para mitigá-los.