Quem lucra com o ransomware?

Setembro 30, 2021
Kaseya
Ransomware

O ransomware é o tipo de ataque cibernético com maior probabilidade de chegar às manchetes, pois acarreta consequências dramáticas e devastadoras. Sofrer um ataque cibernético como o ransomware é suficiente para infligir um golpe fatal à maioria das empresas – 60% das empresas atingidas por um ataque cibernético fecham as portas em até seis meses. Proteger as empresas contra o ransomware é vital para manter as portas abertas. Um incidente de ransomware pode devastar o orçamento de uma empresa, mas é uma fonte de renda para os criminosos. Todo ataque de ransomware requer muitos participantes para ser executado, e todos eles estão lá pelo mesmo motivo: dinheiro. Independentemente de uma empresa pagar ou não o resgate após ser vítima de um ataque de ransomware, a economia do crime cibernético na dark web é fortalecida.  

Como funcionam as operações de ransomware? 

Quando uma empresa paga um resgate, esse dinheiro circula por toda a dark web. Os resgates não vão apenas para uma pessoa ou organização – até mesmo um participante secundário em um ataque de ransomware lucra com isso. A indústria do ransomware é um ecossistema próprio e um dos principais contribuintes para a economia da dark web. Também faz parte do setor de “crime cibernético como serviço”. Essa é uma das principais razões pelas quais cibercriminosos de todos os tipos se lançam rapidamente em uma operação de ransomware. Esses criminosos têm grandes chances de sair com uma quantia substancial de dinheiro, e todos são pagos. 

As grandes e poderosas gangues de ransomware raramente realizam campanhas por conta própria. Em vez disso, elas operam plataformas de cibercrime como serviço que os criminosos cibernéticos podem usar para conduzir operações, atrair talentos, fazer contatos com freelancers e receber pagamentos. O chefe da quadrilha ganha dinheiro com sua parte dos lucros quando um ataque bem-sucedido de ransomware ocorre sob seus auspícios. Esses ataques são conduzidos por empreiteiros independentes aliados, conhecidos como afiliados. Os afiliados são aqueles que fazem o trabalho diário de montar um ataque bem-sucedido de ransomware.  

O afiliado é responsável por executar tudo sobre um ataque de ransomware contra o alvo escolhido, do planejamento à execução e ao pagamento. O afiliado pode ser uma quadrilha menor ou apenas um grupo de freelancers que se reúnem para um trabalho. É comum que as afiliadas contratem especialistas e freelancers para as operações, como criadores especializados em spear phishing ou hackers habilidosos. Às vezes, o chefe da quadrilha fornece o malware ou o afiliado pode preferir usar o seu próprio malware. Independentemente de como o afiliado realiza o trabalho, se o ataque for bem-sucedido, ele é obrigado a enviar uma parte da cadeia para o chefe (a gangue que administra a plataforma), geralmente de 10 a 20% do lucro, além de pagar os subcontratados que tiver contratado. O restante do dinheiro é deles. 

Agora contratando: Uma organização de ransomware 

Todos estão em busca de bons colaboradores, pois os funcionários certos são um elemento fundamental para o sucesso de uma empresa — até mesmo as gangues de cibercrime. Depois que dois fóruns russos de renome baniram os operadores de ransomware, duas grandes gangues de ransomware, identificadas como Himalaya e LockBit, passarama usar seus próprios sitespara promover suas ferramentas de criptografia e recrutar novos afiliados. A LockBit acabara de lançar uma nova versão de seu ransomware característico e tentou aproveitar o desempenho aprimorado do software como forma de atrair talentos. O Himalaya foi direto ao ponto,divulgandoem seu siteos generosos pagamentosque oferece aos associados, assim como qualquer outra empresa que esteja procurando ajuda. 

Mas nem todas as gangues estão contratando pessoas da rua. Vários dos maiores operadores de ransomware não fazem nenhum tipo de recrutamento público. Em vez disso, é preciso conhecer alguém na organização para entrar, assim como em uma operação criminosa tradicional. Você não verá postagens de contratação de uma organização como a REvil. Os especialistas observam que a gangue REvil prefere operar discretamente e contar com sua rede de afiliados e conexões para obter sangue novo quando necessário. Alguns outros participantes do crime cibernético também preferem ficar quietos e trabalhar nas sombras, e os grupos que também realizam operações como o comprometimento de e-mails comerciais como parte de sua operação de ransomware querem especialmente permanecer invisíveis. Na esteira da caçada internacional aos hackers envolvidos no ataque da DarkSide à Colonial Pipeline, muitas gangues, hackers e corretores de dados se tornaram ainda mais clandestinos. Os grupos de estados-nação também nunca estão contratando, em vez disso, contam com uma rede confiável de agentes de ameaças aliados para fazer seu trabalho.  

Fluxos de dinheiro na Dark Web 

A demanda por todos os tipos de serviços especializados em crimes cibernéticos é alta – especialistas estimam que 90% das publicações em fóruns populares da dark web são de compradores que buscam contratar alguém para serviços de hacking. Estima-se que 69% dessas postagens de contratação em fóruns da dark web buscavam cibercriminosos para hackear sites, enquanto outros 21% procuravam malfeitores capazes de obter bancos de dados de usuários ou clientes especificamente visados. Nem todos os “hackers” são realmente hackers. Alguns possuem conhecimento especializado em áreas altamente específicas, como engenharia social ou operações de spear phishing. Os supostos cibercriminosos também podem lucrar com a venda de suas próprias tecnologias. Pouco mais de 2% das postagens nos fóruns analisadas pelos pesquisadores foram feitas por desenvolvedores cibercriminosos que vendiam ferramentas do ramo, como quebra-senhas, skimmers de pagamento, malware, ransomware e outros programas de hacking. Os hackers também usam esses fóruns como forma de conhecer pessoas interessadas em planejar ou participar de ataques cibernéticos — cerca de 1% das postagens em fóruns da dark web analisadas foram feitas por hackers em busca de outros hackers para formar uma equipe.    

As organizações do crime cibernético também estão dispostas a pagar muito caro pelo acesso. Os fóruns populares da dark web são a versão do LinkedIn dos criminosos cibernéticos. Aproximadamente 40% das listagens que os pesquisadores visualizaram em um estudo de 2020 foram criadas por participantes do espaço Ransomware-as-a-Service (RaaS). As gangues ofereciam até US$ 100.000 para serviços de acesso inicial, sendo que a maioria dos atores estabelecia seu preço máximo em pouco mais da metade desse valor, US$ 56.250. Em outros anúncios publicados em um fórum popular, os agentes de ameaças estavam procurando alvos especificamente nos EUA, Canadá, Austrália e Grã-Bretanha com receita de US$ 100 milhões ou mais. Por esse acesso, eles estavam dispostos a pagar de US$ 3.000 a US$ 100.000, o que é suficiente para tentar os funcionários, especialmente em circunstâncias econômicas difíceis.   

Por dentro do ataque de ransomware ao Colonial Pipeline 

A maioria dos ataques de ransomware são operações complexas e obscuras, e os detalhes exatos raramente vêm à tona. Mas o incidente com o ransomware da Colonial Pipeline foi amplamente investigado, pesquisado e relatado, dando a todos uma rara visão interna de como exatamente ocorre um ataque de ransomware que danifica a infraestrutura. Esse incidente colocou o ransomware ainda mais em evidência e estimulou a ação de governos de todo o mundo, incluindo o governo dos EUA, para proteger a infraestrutura contra o ransomware e punir os criminosos cibernéticos. O governo dos EUA abriu recentemente um Ransomware One-Stop para ajudar as empresas americanas a combater o problema. 

O grupo de ransomwareDarkSideganhou notoriedade por ter realizado um ataque bem-sucedido contra a Colonial Pipeline, obtendo um ganho estimado em pouco mais de US$ 4 milhões. Mas essa operação não foi conduzida diretamente pelos desenvolvedores e operadores do DarkSide. Em vez disso, o ataque à Colonial Pipeline foi realizado por uma afiliada da operação maior, utilizando o malware proprietário do DarkSide. Essa afiliada contratou seus próprios subcontratados por meio de fóruns da dark web e reuniu recursos de mercados de dados e dumps da dark web para realizar o ataque. 

Então, o grupo de hackers acionou sua armadilha, atacando a Colonial Pipeline em um ataque devastador que paralisou o maior oleoduto dos Estados Unidos. O ponto de entrada para o grupo foi uma única senha de funcionário comprometida que lhes deu as chaves do reino, provavelmente obtida por meio de spear phishing. O afiliado do DarkSide conseguiu então facilmente se infiltrar na segurança reconhecidamente negligente da Colonial Pipeline e entregar sua carga venenosa: o ransomware proprietário do DarkSide, para criptografar os sistemas e dados da Colonial Pipeline. Depois disso veio a parte fácil – a afiliada configurou um temporizador para a implantação do malware, fez sua exigência de resgate e sentou-se para esperar pelo dinheiro.  

Pouco mais de uma semana após a invasão inicial, a infecção por ransomware começou, dando início ao fim da operação da afiliada. Um funcionário que começava seu dia de trabalho na sala de controle central da Colonial Pipeline viu uma nota de resgate exigindo criptomoeda aparecer em seu computador e chamou seu supervisor. Em seguida, começou a corrida da Colonial Pipeline para tentar superar a infecção e preservar seus sistemas e dados. Depois de fechar o oleoduto para tentar reduzir os danos e impedir que os hackers penetrassem ainda mais, a Colonial não teve outra opção a não ser chamar especialistas para ajudar - a situação estava muito além de sua capacidade de lidar com ela internamente.  

Os invasores bloquearam a Colonial Pipeline com um efeito devastador. Eles também roubaram quase 100 gigabytes de dados. Por fim, o ataque da afiliada da DarkSide foi um sucesso estrondoso. A Colonial Pipeline pagou aos atacantes um resgate de US$ 4,4 milhões em pouco tempo. De acordo com pesquisadores da FireEye, os afiliados da DarkSide são obrigados a pagar ao grupo chefe até 25% dos pagamentos de resgate inferiores a US$ 500.000 e 10% de qualquer cobrança de resgate bem-sucedida superior a US$ 5 milhões. 

O ransomware é muito lucrativo, especialmente a variedade de criptografia dupla que a DarkSide preferia. Antes de a gangue ficar obscura após o incidente do Colonial Pipeline, a DarkSide havia recebido US$ 90 milhões em pagamentos de resgate em bitcoin ao longo de sua curta existência, de acordo com analistas de blockchain da Elliptic. Eles também estimaram que o pagamento médio de ransomware em uma operação da DarkSide foi de cerca de US$ 1,9 milhão. Do total arrecadado pelas operações da DarkSide, esses especialistas estimam que US$ 15,5 milhões foram para o desenvolvedor da DarkSide, enquanto US$ 74,7 milhões foram para suas afiliadas. 

Impeça o ransomware interrompendo o phishing 

Uma das melhores maneiras de proteger uma empresa contra ransomware é protegê-la contra phishing. Estima-se que 94% dos ataques de ransomware cheguem às empresas por e-mail. Essas mensagens costumam utilizar técnicas sofisticadas de engenharia social para induzir os funcionários a baixar um anexo, visitar um site malicioso ou fornecer suas credenciais a cibercriminosos. A prevenção contra ransomware começa por impedir que as mensagens de phishing cheguem às caixas de entrada dos funcionários. 

Sua empresa precisa de uma solução de segurança de e-mail robusta e automatizada, capaz de oferecer proteção avançada contra mensagens maliciosas que contenham ameaças como ransomware, sem um custo elevado.Graphus essa necessidade.  

  • Uma sofisticada automação de segurança de e-mail oferece três camadas de proteção entre sua empresa e as mensagens de phishing 
  • Soluções automatizadas de e-mail, comoGraphus 40% mais mensagens maliciosas do que as soluções convencionais ou um SEG 
  • A IA inteligente nunca precisa de relatórios de ameaças e, em vez disso, usa mais de 50 pontos de comparação para detectar spear phishing, ransomware, ataques de dia zero e outras ameaças complexas. 

Não espere até ter que arcar com os custos de um ataque de ransomware para melhorar a segurança do seu e-mail – 60% das empresas atingidas por um ataque cibernético acabam fechando as portas. Acabe com o phishing imediatamente comGraphus a defesa contra phishing mais simples, automatizada e acessível disponível atualmente. Entre em contato com um de nossos especialistas em soluções hoje mesmo e coloque em prática uma proteção que nunca tira um dia de folga para proteger sua empresa. 

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Do phishing ao ransomware: como Kaseya 365 protege suas aplicações SaaS

As aplicações SaaS, como o Microsoft 365 e o Google Workspace, estão presentes em praticamente todos os aspectos das operações digitais atuais. No entanto, à medida que as empresas

Leia a postagem do blog

O que é ransomware como serviço (RaaS)?

O ransomware como serviço é um modelo de negócios em que os criminosos cibernéticos desenvolvem ransomware e o vendem ou alugam para afiliados. Saiba como ele funciona e como impedi-lo.

Leia a postagem do blog

Evite problemas de TI neste Dia dos Namorados com a detecção de ransomware

Neste Dia dos Namorados, cibercriminosos de todo o mundo estão tentando partir o seu coração. O objetivo deles é invadir

Leia a postagem do blog