O recente ataque contra usuários da plataforma Kaseya VSA é mais um exemplo da dinâmica cada vez mais organizada do crime cibernético. Os dias do atacante solitário já se foram; esses ataques são agora um grande negócio com reconhecimento significativo. Relatórios não oficiais identificaram os atores da ameaça de ransomware REvil como sendo os responsáveis por este ataque à cadeia de abastecimento. REvil foi atribuído aos atores de DarkSide que mais recentemente atacaram Colonial Pipeline e JBS foods em maio. A organização criminosa com sede na Rússia usa um modelo de ransomware como serviço; seus hackers desenvolvem e vendem ferramentas de hacking de ransomware para afiliados criminosos, que então realizam os ataques propriamente ditos.
Esses ataques demonstram o fato de que uma rede organizada de crimes cibernéticos está florescendo sob a superfície. No panorama atual do cibercrime, muitos cibercriminosos agora operam como grandes empresas distribuídas. E muitos têm como alvo grandes corporações e indústrias ou indivíduos de alto perfil para obter o maior retorno sobre seu investimento – uma estratégia conhecida como “Big Game Hunting”.
Abaixo da ponta do iceberg
Tendemos a nos concentrar na superfície de ataque quando se trata de segurança cibernética, mas a realidade é que, assim como um iceberg, há muito mais coisas escondidas sob a superfície. A superfície de ataque é porosa. Em outras palavras, existem muitos vetores e pontos de entrada diferentes, e eles criam vulnerabilidades.
Mas então, e quanto aos mecanismos – as formas e meios de se infiltrar nesses vetores e pontos de entrada? Eles representam os e-mails de phishing ou outras tentativas semelhantes de explorar a superfície vulnerável, para que os malfeitores possam executar ataques de malware ou ransomware. Mas, não podemos apenas concentrar nossos esforços na comunidade de segurança cibernética nas formas e meios. Devemos lembrar que o que está abaixo da superfície de ataque é um ecossistema de crimes cibernéticos inteiro e florescente. Devemos começar a examinar como eles estão se organizando, como estão criando essas armas e como estão operando.
Explorando o ecossistema do crime cibernético
O crime cibernético está cada vez mais organizado; existem cadeias de suprimentos criminosas inteiras, o que significa que o hacking se tornou muito mais sofisticado e perigoso. Por exemplo, mais da metade de todos os ataques são gerenciados por organizações do crime cibernético que são mais bem organizadas do que a maioria das empresas. Eles têm CEOs, gerentes de contas e call centers dedicados que ajudam as vítimas a pagar seus resgates. Seus fluxos de receita são dados roubados e extorsão. Seu ecossistema de crime cibernético como serviço é um dos principais motivos pelos quais a indústria do crime cibernético continua a crescer dramaticamente e gera mais de um trilhão de dólares em receita a cada ano.
DarkSide é apenas um exemplo desse tipo de operação cibercriminosa cada vez mais organizada.
Outro exemplo é o grupo conhecido como Sodinokibi (também conhecido como REvil), que usa um modelo de negócios Ransomware-as-a-Service e recruta afiliados para distribuir seu ransomware. Suas façanhas incluem roubar quase um terabyte de dados e exigir um resgate para não publicá-los.
Ficando à frente dos criminosos
Ataques modernos e o ecossistema do crime cibernético cada vez mais organizado estão colocando dados, ativos e vidas em risco. A ação deve ser tomada agora usando uma abordagem em duas vertentes. Primeiro, as organizações dos setores público e privado precisam colaborar para derrubar as cadeias de abastecimento desses ecossistemas criminosos: suas afiliadas. Isso terá um impacto tremendo porque reduz a lucratividade desses agentes mal-intencionados, produzindo um enorme efeito cascata. Caso contrário, este problema continuará a piorar, com um impacto cada vez mais terrível.
O outro ponto é que as organizações devem se tornar mais proativas, usando proteção de endpoint em tempo real, detecção e soluções de resposta automatizada para tornar seus ambientes seguros.
Tecnicamente falando, segmentação de rede, criptografia cibernética e políticas de confiança zero (e, correlativamente, acesso à rede de confiança zero) oferecem proteções. Além disso, essas estratégias funcionam melhor quando as organizações usam ferramentas de visibilidade de ativos para identificar seus ativos críticos. Depois de saber onde residem os dados, eles podem criar uma estratégia de proteção proativa.
Proteção proativa em duas frentes
Atores mal-intencionados amadureceram com o tempo, aumentando seu nível de ameaça e seus lucros. O cibercrime moderno tem seu próprio ecossistema de afiliados, mas esse ecossistema está pronto para ser interrompido. Interromper essas “cadeias de suprimentos” é uma oportunidade de parar os criminosos em seu caminho. Embora os afiliados de ransomware estejam proliferando, organizações públicas e privadas podem unir forças para desmantelar os programas de afiliados. Este é o objetivo geral, mas no nível mais micro, as organizações individuais podem implementar ferramentas de segurança proativas para localizar e eliminar ameaças antes que os agentes mal-intencionados possam pontuar.
Este artigo é uma tradução de: https://www.securityweek.com/defeating-organized-cybercrime-ecosystem (Autor: Derek Manky)
