Rússia, Irão e Europa Ocidental na origem dos maiores ataques de ransomware

2 fev 2023 14:38

Este artigo tem mais de um ano

Desde 2020 que os ataques de ransomware já geraram lucros na ordem dos 69 milhões de dólares em Bitcoin. O caso da CNA Financial lidera a lista dos mais caros e no top 10 a Rússia, Europa Ocidental e Irão estão entre os países de origem dos ataques mais graves.

Os ataques de ransomware assumiram um crescimento exponencial nos últimos anos, ligado também ao crescimento de criptomoedas como a Bitcoin, indica o último relatório da at Immunefi. No top dos 10 principais ataques de cripto-ransomware desde 2020 estão alguns dos casos mais mediáticos, entre os quais o ataque à CNA Financial que levou a um pagamento de 40 milhões de dólares.

O relatório Top Crypto Ransomware Payments, hoje divulgado, revela que os lucros de ataques de cripto-ransomware foram de 69,3 milhões de euros em Bitcoin, pagos a organizações de hackers que exploraram a localização em regiões com jurisdição de alto risco e com ligações fracas com o sistema financeiros europeu e da américa do norte.

"Com o aparecimento e crescimento de criptomoedas como a Bitcoin, os ataques de ransomware assistiram a um aumento notável em popularidade, dado grupos de ransomware acreditarem que criptomoedas eram essencialmente anónimas, não-rastreáveis e poderiam facilitar pagamentos muito maiores do que quando o processo se encontraria dependente de sistemas financeiros tradicionais", explica o relatório.

Veja alguns dos dados do relatório e a lista das organizações atacadas

Só o ataque à CNA tem um peso de mais de 57% no total de pagamentos de ransomware listados pela Immunifi, mas na listas estão também a JBS com 11 milhões pagos, a CWT com 4,5 milhões e a Brenntag com 4,4 milhões.

Para cada um dos ataques refere-se a origem e o grupo envolvido, permitindo perceber que a maioria teve origem na Rússia ou na Europa Ocidental, mas também no Irão.

Entre as estirpes de ransomware mais utilizadas nestes ataques o relatório aponta a Phoenix CryptoLocker, DarkSide, REvil/Sodinokibi, LockBit e Ragnar Locker, descrevendo o modo de operação e os grupos que as utilizam.

No relatório a Immunifi adianta ainda que, para evitar que as autoridades sigam o rasto dos pagamentos, os grupos de ransomware usaram "técnicas de ofuscação" para aumentar a anonimização, incluindo o desenvolvimento de código com um estilo semelhante ao de outros grupos rivais. As operações são ainda cada vez mais complexas, recorrendo a sistemas operativos como Linux Tails, com várias camadas de ligações de rede.

A Immunifi deixa ainda alguns conselhos sobre a forma como as empresas se devem proteger deste tipo de ataques e como um bom sistema de backup e recuperação de desastre pode contribuir para ultrapassar um ataque informático.