O grupo de ransomware Conti, uma extensa rede de cibercriminosos, extorquiu aproximadamente US$ 180 milhões de suas vítimas em 2021, muito mais do que qualquer outro grupo de ransomware no mundo. Recentemente, o grupo teve suas informações vazadas por um pesquisador de segurança cibernética infiltrado e que tinha acesso aos arquivos e sistemas de bate-papo internos do Conti. Utilizando uma conta no Twitter (@ContiLeaks), ele divulgou mais de 60.000 mensagens de bate-papo enviadas entre os membros da gangue, seu código-fonte e dezenas de documentos internos do grupo.

“Entre as informações vazadas estão a hierarquia empresarial do grupo, as personalidades de seus membros, como eles se esquivam da aplicação da lei e detalhes de como negociam os resgates que pedem para as empresas”, conta Helder Ferrão, gerente de marketing de Indústrias da Akamai. “Os pesquisadores de segurança da Akamai revisaram e analisaram a documentação vazada para determinar a amplitude de seu cenário de ataque em relação ao ransomware. A longa lista de TTPs (Terrorist Tactics, Techniques, and Procedures) é um lembrete sério do arsenal que está à disposição de grupos de ataque como o Conti”, diz.

O que é ransomware?

O ataque de ransomware tem como objetivo ‘sequestrar’ informações, impedindo que as empresas tenham acesso aos seus sistemas, para então extorquir seu alvo, no caso, as empresas. Através de um malware (um vírus), o hacker consegue criptografar dados importantes das empresas, tornando-os inacessíveis. Para devolver esses dados, documentos, informações, os cibercriminosos fazem um pedido de resgate (ransom, em inglês). Em alguns casos, os criminosos divulgam partes das informações como forma de ameaça, para pressionar as empresas a pagarem o resgate.

O grupo Conti

A gangue de ransomware Conti funciona como qualquer outra empresa. Possui vários departamentos e colaboradores, RH, administradores, codificadores e pesquisadores. Eles têm políticas sobre como seus hackers devem processar seu código e compartilham as melhores práticas para manter os membros do grupo escondidos das autoridades. Segundo os documentos vazados, o grupo opera praticamente como uma empresa de desenvolvimento de software e, ao que parece, muitos dos programadores têm salários e não participam do resgate pago após o ataque.

“As técnicas de ataque divulgadas são conhecidas e difíceis de parar, motivo provável de porque ainda estejam em uso. O que esses ataques têm em comum são sua eficácia em atingir seu objetivo. Para que as organizações se defendam dessas táticas, elas precisam entender como grupos de ransomware operam, pois isso pode ajudá-las a se defenderem não apenas deles, mas de outros grupos de ransomware como eles”, comenta Ferrão.

Como se proteger desses ataques?

A Akamai Technologies, empresa que protege e potencializa a vida online, divulgou em seu website uma análise detalhada das técnicas usadas por esse e muitos outros grupos e o que as organizações podem implementar hoje para estarem mais preparadas contra grupos de ransomware. Empresas de todos os tamanhos podem ser vítimas de um ataque.

“Analisando a documentação de tempo, entre hackear uma documentação e criptografar essa documentação, fica claro que o principal problema é com hacking (violação de rede, movimento lateral e propagação, evitando detecção) e não apenas com criptografia e exfiltração de dados. As empresas precisam que sua defesa tenha várias camadas, já que não há apenas uma solução que possa mantê-lo imediatamente seguro e protegido. Como podemos ver na metodologia de ataque do grupo, há um processo sofisticado antes que o ransomware seja implantado, o que nos dá muitas oportunidades para detectar e responder ao ataque”, conclui Ferrão.

4 dicas da Akamai de como aumentar a defesa contra ataques de ransomware:

1. Certifique-se de incluir segurança cibernética na função que gerencia a mitigação geral de riscos para sua organização. E garanta que sua equipe de liderança tenha experiência em segurança.
2. Não se esqueça de dedicar orçamento e recursos para geração de backup, no caso de um ataque comprometer seus arquivos, e para a segmentação de rede, que evita que um ciberataque se alastre dentro da empresa.
3. Crie planos de resposta antes de um desastre ou evento adverso (como um ataque de ransomware). Estar organizado e preparado significa que você pode reagir com mais rapidez e eficiência.
4. Analise o impacto na segurança sempre que integrar, projetar ou desenvolver novos produtos e serviços. Pergunte a si mesmo: estou abrindo uma nova porta para os invasores?

A segurança deve fazer parte da estratégia, planejamento e orçamento mais amplos de preparação da sua organização. Isso significa aumentar a conscientização com executivos C-level e membros do Conselho e permanecer vigilante sobre os potenciais riscos e o que você precisa para mitigá-los.