Surto de ransomware: mais de 1.000 vítimas impactadas em 2024

Report da Apura mostra como esse tipo de ataque cibernético continua sendo um dos principais problemas em cibersegurança e quais medidas têm sido tomadas para combater esse problema

Em 2024, o panorama global da cibersegurança enfrenta desafios intensos, à medida que ataques cibernéticos se intensificam, especialmente os perpetrados por grupos de ransomware. Essas ameaças visam grandes empresas, sequestrando e roubando dados sensíveis e exigindo resgates exorbitantes para devolvê-los.

Um relatório recente da Apura Cyber Intelligence, referência em soluções de cibersegurança na América Latina, que investiga minuciosamente os eventos mais significativos no campo da cibersegurança, destaca que o ransomware permanece como uma das ameaças mais predominantes. Novas variantes estão constantemente surgindo, alimentadas por inovações e pela reutilização de códigos já existentes.

De acordo com Anchises Moraes, um dos analistas responsáveis pelo relatório, “a velocidade com que novas versões de ransomware são desenvolvidas, muitas vezes a partir de códigos vazados em fóruns na dark web, sublinha a necessidade de um monitoramento contínuo e da atualização constante das estratégias de defesa. Com o uso de inteligência artificial, os criminosos conseguem modificar o comportamento do ransomware, dificultando sua detecção por sistemas tradicionais de segurança, o que torna o rastreamento e a análise dessas ameaças ainda mais vitais.”

Os números são alarmantes: mais de mil vítimas de ransomware foram registradas de janeiro até agora, com o grupo LockBit liderando a lista, afetando 525 empresas, seguido por RansomHub e Play. Um dos episódios mais impactantes deste ano ocorreu em Londres, onde um ataque de ransomware paralisou as operações em vários hospitais, levando-os a declarar estado de emergência e interromper alguns serviços críticos para a população.

Abaixo, apresentamos a lista com os “top 10” ransomwares que mais fizeram vítimas até meados de 2024. Vale destacar que o  segundo colocado na lista, o RansomHub, foi identificado pela primeira vez no início deste ano, mostrando como grupos têm investido em criar novos malwares e a capacidade de renovação constante desses ciber criminosos. A lista completa possui mais de 30 famílias diferentes de ransomwares que foram encontrados em 2024 com pelo menos um ataque bem sucedido. 

• LockBit: 525
• RansomHub: 240
• Play: 197
• Akira: 168
• Black Basta: 145
• Inc Ransom: 142
• Hunters: 141
• Cactus: 139
• Medusa: 139
• 8Base: 124

A empresa paraguaia de telecomunicações Tigo também enfrentou um ataque devastador, com criminosos exigindo um resgate de US$ 8 milhões em Bitcoin. Adicionalmente, um hacker anunciou em um fórum a venda do código-fonte do ransomware ALPHV (BlackCat) por US$ 30 mil, evidenciando a crescente ameaça e o comércio ilícito de softwares maliciosos.

Moraes destaca que a colaboração entre empresas de segurança e agências policiais é mais crucial do que nunca para desmantelar essas redes criminosas e neutralizar as ameaças antes que causem estragos irreparáveis. Um exemplo significativo dessa colaboração internacional é a Operação Cronos, realizada no início deste ano graças a um trabalho conjunto de diversas agências de segurança em vários países, que visou desmantelar o grupo de ransomware LockBit, responsável por 44% de todos os ataques de ransomware no mundo.

Com um modelo de Ransomware como Serviço (RaaS), o LockBit alugava as suas ferramentas a criminosos que atacavam setores críticos. A Operação Cronos, liderada por agências internacionais, resultou na apreensão de 34 servidores em diversos países, prisões de membros do grupo na Polônia e na Ucrânia e no bloqueio de mais de 200 contas de criptomoedas usadas em atividades ilícitas. A Agência Nacional de Crimes do Reino Unido assumiu o controle de parte da infraestrutura do LockBit e, em conjunto com a Europol, desenvolveu e ofereceu gratuitamente ferramentas de descriptografia para ajudar as vítimas.

Outra ação eficaz foi a operação “Endgame”, coordenada pela Europol, que focou na desarticulação de botnets e droppers que facilitava ataques de ransomware. No final de maio de 2024, essa operação interrompeu infraestruturas associadas a droppers como IcedID, SystemBC e Trickbot, congelando receitas ilegais e impactando significativamente o ecossistema de malware.

Essas operações resultaram em várias prisões, execução de 16 mandados de busca e a retirada do ar de mais de 100 servidores. A prisão de um cibercriminoso russo por criar criptografadores personalizados ilustra a eficácia da colaboração internacional no combate à cibercriminalidade.

“O enfrentamento dos ransomwares em 2024 ressalta a urgência de uma defesa colaborativa e proativa, onde tecnologias de ponta e alianças entre entidades legais e empresas de cibersegurança são determinantes para mitigar e prevenir as ameaças cibernéticas em constante evolução”, segundo o especialista da Apura. “Para as empresas, é fundamental ter um programa de inteligência cibernética, com o monitoramento constante e proativo das ameaças que podem impactar o seu negócio”, conclui Anchises Moraes.