Lembram-se da época em que o hacktivismo parecia um hino punk rebelde contra a máquina alimentados por indignação justa ou guerreiros online com gosto por travessuras. Esses dias são tão antigos quanto a internet discada.
Hoje, a cena de crimes cibernéticos é um negócio acirrado. Uma nova geração de hackers, principalmente inexperientes, foi atraída, incapaz de resistir à tentação de dinheiro fácil. Eles passam seus dias discutindo padrões de ataque e vulnerabilidades emergentes, dedicam horas aprimorando suas habilidades e compram ferramentas caras. No entanto, quando a conta de largura de banda vence, a agenda pessoal de um hacktivista e a emoção de um possível ataque rapidamente perdem o brilho se o dinheiro não estiver entrando. Afinal, os hackers individuais não têm o respaldo financeiro de um sindicato sombrio.
Essa interminável legião de atores de ameaças ávidos por novas maneiras de maximizar seus ganhos financeiros e minimizar seus esforços criou um terreno fértil para o Ransomware-as-a-Service (RaaS). Não mais satisfeitas com seus esquemas multimilionários, as gangues cibernéticas criaram uma cena de inicialização perversa em que embalam seu conhecimento em um produto RaaS totalmente funcional disponível para qualquer pessoa que possa pagar. Esses negócios são construídos com um arrepiante paralelo a empresas legítimas, completos com modelos de assinatura, atualizações de recursos, agressivas campanhas de recrutamento de afiliados e suporte ao cliente.

GhostLocker: O Mais Novo Ransomware-as-a-Service

A conversa atual na cidade dos hackers é o GhostLocker, o produto RaaS da GhostSec, SiegedSec e The Five Families, lançado no início de outubro. Além da criptografia de qualidade militar, o marketing do GhostLocker sugere recursos inovadores.
Ele afirma ser completamente indetectável por todas as principais soluções antivírus (AV). Ele permite a escalada automática de privilégios, oferece proteção contra engenharia reversa e oferece criptografia adiada. Seu painel mostra estatísticas detalhadas de lançamento, frequência de construção e ganhos ao longo da vida. Para dar ao RaaS uma proposta de valor única, os usuários podem deixar as negociações de resgate nas mãos presumivelmente capazes dos especialistas do GhostLocker. Imitando ainda mais o roteiro de uma startup de tecnologia, o GhostLocker oferece uma oferta de fase beta: os primeiros 15 afiliados obtêm acesso pelo preço promocional de $999, aumentando para $4999 para quem se junta mais tarde. Após pagar a assinatura (opções mensais também estão disponíveis!), como em um típico programa de afiliados de comércio eletrônico, o GhostLocker retira uma comissão mínima de 15% de cada resgate obtido.

GhostLocker em Ação
Aqui está um breve olhar sobre como o criptografador criado em Python do GhostLocker funciona:
Dependendo do módulo de criptografia Fernet e sua criptografia alimentada por AES, o GhostLocker cria uma chave codificada em base64 de 32 bytes segura para URLs usando o método generate_key().
Em seguida, o programa RaaS cria um ID de vítima e usa a biblioteca Python getpass para recuperar o nome de usuário da vítima. Ele envia a chave, o ID e o nome do PC para o painel do atacante, tudo não criptografado via HTTP.
Em seguida, o GhostLocker inicia o processo de criptografia e envia uma nota de resgate HTML chamada ‘lmao’ (Laughing My A** Off) para a pasta de Documentos da vítima. Em inglês imperfeito, o aviso explica que os arquivos foram roubados e criptografados e inclui um link para baixar a plataforma de mensagens criptografada de ponta a ponta, Session, para se comunicar com o hacker.

RaaS: O Modelo SaaS do Crime Cibernético

Por que se juntar a uma operação RaaS e pagar antecipadamente mais uma comissão em vez de agir sozinho e ficar com todo o saque? O apelo é simples. Em primeiro lugar, é como a oportunidade de franquia no equivalente cibernético ao setor de fast-food. Por uma taxa relativamente pequena em comparação com os lucros potenciais, uma operação RaaS oferece todos os ingredientes e receitas necessários. Os hackers obtêm acesso a uma série de ferramentas prejudiciais, desde criptografia de dados até plataformas de extorsão, contam com o suporte de uma organização maior e altamente experiente, e têm acesso a recursos compartilhados.
O RaaS essencialmente democratiza o crime cibernético, tornando-o acessível a qualquer pessoa com um entendimento básico de computadores e uma completa falta de moral. Com o RaaS, o trabalho pesado – desenvolver malware, manter a infraestrutura e negociar o pagamento, no caso do GhostLocker – é feito para os atores de ameaças. Essas operações oferecem uma proposta de baixo risco e alta recompensa, sem a necessidade de habilidades de codificação.

Tendências Atuais de Ransomware

Ransomware-as-a-Service não é novidade. Por anos, grupos como DarkSide, Ryuk e REvil têm chamado a atenção e acumulado ganhos ilícitos. No entanto, o que mudou é que os ataques de ransomware estão se tornando mais frequentes, mais custosos e visando mais tipos de empresas.

Aumento nos Ataques: Nos últimos cinco anos, os ataques aumentaram drasticamente. Em 2015, 55% das organizações em todo o mundo relataram ser vítimas; em 2023, esse número saltou para quase 73%.
Aumento nas Exigências de Resgate: Em 2023, a exigência média de resgate foi de $1,54 milhão, quase o dobro do valor de 2022 ($812.380).

A Receita Não Importa: Empresas que ganham menos de $1 milhão foram atacadas com uma taxa idêntica às que ganham entre $500 milhões e $1 bilhão (cerca de 31 casos cada entre janeiro de 2022 e janeiro de 2023). Empresas com receitas entre $10-25 milhões sofreram mais, com quase quatro vezes mais ataques (133 casos).

O Tamanho da Empresa Também Não Importa: Pequenas (11-50 funcionários) e médias empresas (51-200 funcionários) são alvos principais, relatando 281 e 395 ataques de ransomware, respectivamente. Empresas com 1-10 e 1000-5000 funcionários experimentam taxas semelhantes de ciberataques, 84 e 110, respectivamente.

Nenhuma Indústria Está Segura: Em números de casos, construção (142), finanças (123) e manufatura (121) foram as indústrias mais visadas. O setor público (78), varejo (77), educação (67) e saúde (65) completaram as 11 principais posições nas indústrias mais atacadas pela NordLocker.
Várias outras tendências emergentes pintam um quadro preocupante. À medida que mais organizações se envolvem com fornecedores terceirizados, os hackers os veem cada vez mais como alvos principais. Em 2022, o ransomware foi a segunda principal causa de violações cibernéticas de terceiros. Os criminosos cibernéticos continuam a explorar setores enfraquecidos pela pandemia, como saúde, educação e municípios, e direcionar trabalhadores remotos em dispositivos pessoais vulneráveis. Os atores de ameaças também têm espalhado ativamente malware explorando dispositivos móveis por meio de permissões relaxadas e notificações de alerta de emergência. Finalmente, a natureza descentralizada do RaaS torna praticamente impossível para as autoridades responsabilizarem os maus atores.

Enfrente o Inimigo com Confiança

O ransomware veio para ficar. Enquanto permanecer lucrativo, os hackers continuarão a adaptar e evoluir seus modelos RaaS. As empresas precisam de uma postura de segurança tão adaptável e inovadora quanto os criminosos que enfrentam.
Adote medidas proativas, como fazer backup regular de sistemas e dados, auditar práticas de segurança de fornecedores externos e conscientizar os funcionários. No entanto, uma estratégia robusta de cibersegurança requer uma solução de Managed Detection and Response (MDR) 24/7, como a da CYREBRO. Ao monitorar constantemente sua rede em busca de atividades suspeitas, perseguir ameaças antes que causem estragos e neutralizá-las com precisão cirúrgica, um MDR garante que até mesmo os ataques alimentados por RaaS mais sofisticados sejam encontrados com uma parede de defesa formidável.
A complacência é o seu pior inimigo; você pode ser a próxima vítima amanhã. Se você não quer que os GhostLockers do mundo prendam sua empresa como refém, deve investir em segurança proativa e abraçar as soluções certas hoje.