A extorsão e o ransomware são negócios de alto lucro e baixo custo que podem prejudicar facilmente as organizações visadas. O que começou como um simples ransomware de PC único evoluiu para uma ampla gama de esquemas de extorsão habilitados pela inteligência humana, infectando as redes de todos os tipos de organizações em todo o mundo. Isso é especialmente preocupante quando a violação poderia ter sido evitada por uma governança eficaz de identidades online.
Normalmente, as organizações não precisam depender de suas habilidades e experiências técnicas internas. O gerenciamento de identidade na computação em nuvem é essencial para a segurança na nuvem. Identidades de nuvem mal configuradas podem derrubar um aplicativo inteiro ou levar a um grande comprometimento de segurança. As organizações podem fazer parceria com terceiros para cuidar de sua governança de identidade na nuvem por meio de um Cloud Identity Platform.
O que é Ransomware?
Ransomware é um software malicioso que impede um usuário ou organização de acessar arquivos em seu computador. Atores maliciosos criptografam esses arquivos e exigem um alto pagamento de resgate pela chave de descriptografia, colocando empresas em uma posição em que pagar o resgate é o método mais simples e barato para recuperar o acesso a seus dados. Algumas variações de ransomware introduziram recursos extras, como roubo de dados, para atrair as vítimas de ransomware a pagar o resgate.
Deve ficar claro que esse tipo de ataque pode não apenas prejudicar uma organização, removendo o acesso a dados críticos do sistema, mas pode manchar seriamente a reputação de uma organização. Esses tipos de ataques geralmente levam a que grandes volumes de informações confidenciais sejam despejados em domínio público ou vendidos para o maior lance. Essas informações podem ser informações pessoais, como contas de usuários sem hash ou, pior ainda, informações financeiras confidenciais que expõem estratégias de negócios ou lucros não declarados. Normalmente, as consequências após tal violação têm um impacto maior do que a própria violação. Abrindo a organização para possíveis descumprimentos e eventuais litígios.
Leia também: O que é Segurança de Computadores | Ameaças Comuns à Segurança do Computador
Ransomware como serviço (RaaS)
o Conti ransomware surgiu inicialmente em julho de 2020, usando um modelo de negócios de dupla extorsão. Uma vítima é extorquida primeiro por resgate e a possível publicação de seus dados roubados nesta abordagem de dupla extorsão. O Conti também é ransomware como serviço (RaaS), um serviço baseado em assinatura que oferece aos afiliados de serviço acesso imediato a ferramentas e compilações de criação de ransomware. Os afiliados do serviço concordam em dividir os pagamentos de resgate entre o desenvolvedor do ransomware e o agente malicioso que realizou o ataque. Tornando-se uma indústria lucrativa para hackers.
A Conti normalmente adquire acesso à rede da vítima por meio de outras ameaças, como Trickbot, IcedID ou Zloader. O Conti possui um módulo de reconhecimento configurável que pode escanear redes internas em busca de compartilhamentos de rede e outros alvos de alto valor uma vez dentro da rede da vítima.
O Conti começa a criptografar dados e bancos de dados modificáveis pelo usuário, dependendo das listas de extensão de arquivo especificadas, uma vez instalado no ambiente da vítima. Uma nota de resgate seria então colocada em todos os diretórios de arquivos após a conclusão da criptografia, instruindo o usuário sobre como entrar em contato com os agentes mal-intencionados.
O modelo de negócios do ransomware se transformou efetivamente em uma operação de inteligência, com atores criminosos pesquisando suas vítimas-alvo para determinar a melhor demanda de resgate. Depois de se infiltrar em uma rede, um agente criminoso pode se infiltrar e estudar documentos financeiros e planos de seguro. Eles também podem estar cientes das consequências de infringir as leis locais. Os atores exigirão dinheiro de suas vítimas para desbloquear seus sistemas e impedir a divulgação pública dos dados exfiltrados da vítima.
Leia também: Melhores ferramentas gratuitas de remoção de spyware para PC com Windows
Como isso pode ser evitado?
Uma métrica importante quando se trata de violações de ransomware é a curadoria de identidades e a segregação efetiva de funções. A governança de identidade na nuvem desempenha um papel importante na proteção das organizações contra violações de dados de ransomware.
Atores mal-intencionados podem obter acesso a ambientes fechados instalando software mal-intencionado para coletar identidades online e credenciais de autenticação. Este software pode surgir através de engenharia social cuidadosamente planejada ou alguns outros mecanismos sutis dependendo da natureza humana.
As organizações devem desempenhar um papel ativo na curadoria de suas identidades online. Ao fazer parceria com um especialista do setor, as organizações têm a oportunidade de introduzir protocolos e práticas de segurança sólidos em seus ambientes de nuvem. Existe uma correlação definitiva entre a falta de governança de identidade online e o aumento do risco de ataques de ransomware. Ao praticar uma higiene cibernética eficaz, os agentes mal-intencionados têm menos superfície de ataque e as organizações podem ficar tranquilas.