Nesta edição, o foco está na evolução da economia do cibercrime e na ascensão do Ransomware-as-a-Service (RaaS), essencialmente usado para extorquir pagamentos das vítima. A maioria dos programas RaaS atuais também procura expor dados roubados e é conhecido como dupla extorsão. Os dois grupos focados na extorsão são o DEV-0537 (também conhecido por LAPSUS$) e o DEV-0390 (um antigo Conti afiliado). A intrusão do grupo DEV-0390 é iniciada através de malware, mas os atacantes soccorrem-se de ferramentas legítimas para filtrar dados e extorquir pagamentos a troco dos dados roubados. O grupo DEV-0537 utiliza uma estratégia muito diferente e mais “artesanal”. O acesso inicial é obtido através da compra de credenciais a partir de locais ilegais ou de colaboradores em organizações-alvo.
Como destaca o relatório, nesta como em tantas outras indústrias, quem desenvolve ferramentas de ransomware deixou de usá-las para lançar ataques e terceirizou tarefas, vendendo ou alugando essas ferramentas a quem o faça, ou por um preço fixo pré-estabelecido, ou em troca de parte dos lucros obtidos (afiliados).
As empresas estão a experienciar um aumento tanto no volume como na sofisticação dos ciberataques. O Relatório de Crime na Internet do Federal Bureau of Investigation 2021 concluiu que o custo do crime cibernético nos Estados Unidos totalizou mais de 6,9 mil milhões de dólares. A Agência Europeia para a Segurança Cibernética (ENISA) informa que, entre maio de 2021 e junho de 2022, cerca de 10 terabytes de dados foram roubados todos os meses por ameaças de ransomware. 58,2% desses ficheiros roubados são dados pessoais dos colaboradores.
Como explica o relatório, a estratégia inicial passa por comprar senhas de acesso aos sistemas alvo no mercado negro. Estas senhas são legítimas e pertencem a funcionários da empresa, que já tinham sido vítimas de ataques anteriores. O grupo privilegia ataques a empresas de telecomunicações ou serviços TI, por saber que estas empresas podem ser uma porta de entrada para outras, suas parceiras e com sistemas ligados aos do primeiro alvo.
O Cyber Signals também regista que, nos últimos tempos, a desativação de alguns programas de grande relevo nesta área do ransomware, como o Conti, abalaram o ecossistema, que se foi reajustando. Muitos afiliados do Ransomware Conti mudaram-se para o LockBit ou Hive, outros passaram a usar vários kits em simultâneo. Além disso, surgiram novos programas que têm vindo a ocupar o espaço deixado vago pelo Conti, como o QuantumLocker e o Black Basta.
Através do Cyber Signals, a Microsoft partilha tendências, táticas e estratégias que os atores das ameaças usam para obter acesso a hardware e software, bem como ajudar a informar sobre como podemos proteger, de forma coletiva, recursos e dados das nossas vidas no digital, para a construção de um mundo mais seguro.