Neste ano, 26,2% dos alvos de ransomware foram usuários corporativos. Em 2016, essa proporção foi de 22,6%. Isso se deve, em parte, a três ataques de ransomware sem precedente que atingiram redes corporativas e mudaram para sempre o cenário dessa ameaça cada vez mais perigosa.
Segundo pesquisa, 2017 será lembrado como o momento em que a ameaça do ransomware expandiu-se repentinamente, com agentes de ameaças avançadas atacando empresas no mundo todo em uma série de ataques destrutivos acionados por worms, cujo objetivo final continua sendo um mistério. Esses ataques incluíram o WannaCry em 12 de maio, o ExPetr em 27 de junho e o BadRabbit no final de outubro. Todos usaram exploits criados para comprometer redes corporativas. As empresas também foram alvo de outros ransomwares.
“Os ataques que ocuparam as manchetes em 2017 são um exemplo extremo do crescente interesse dos criminosos nos alvos corporativos. Nós identificamos essa tendência em 2016. Ela se acelerou durante 2017 e não mostra sinais de perder velocidade”, disse analista sênior de malware de empresa responsável pela pesquisa. “As vítimas corporativas são incrivelmente vulneráveis; é possível cobrar delas um resgate maior que de indivíduos e, muitas vezes, estão dispostas a pagar para manter a empresa funcionando. Não é surpresa que os vetores de infecção focados em novos negócios, como por meio de sistemas de área de trabalho remota, também estejam em ascensão.”
O relatório revela ainda que, no todo, pouco menos de 950 mil usuários únicos foram atacados neste ano, na comparação com cerca de 1,5 milhão em 2016. Essa diferença entre os números é, em grande medida, reflexo da metodologia de detecção — por exemplo, os “baixadores” frequentemente associados ao criptomalware agora são melhor detectados por tecnologias heurísticas e não mais classificados junto com os vereditos referentes a ransomware coletados pela telemetria.
Os três ataques principais, usaram exploits sofisticadas espalhadas on-line no segundo trimestre de 2017 por um grupo conhecido como Shadow Brokers. De acordo com o estudo, houve um declínio no número de novas famílias de ransomware (38 em 2017, 62 em 2016), com um aumento correspondente nas modificações de ransomware existentes (mais de 96 mil novas modificações detectadas em 2017, em comparação com 54 mil em 2016). Esse aumento nas modificações pode ser reflexo de tentativas dos invasores de obscurecer seu ransomware conforme as soluções de segurança aprimoraram sua detecção.
A partir do segundo trimestre deste ano, uma série de grupos encerrou suas atividades com ransomware e publicou as chaves necessárias para descriptografar arquivos. Entre eles, AES-NI, xdata, Petya/Mischa/GoldenEye e Crysis. O Crysis reapareceu depois, possivelmente ressuscitado por outro grupo.
A crescente tendência de infectar empresas por meio de sistemas de área de trabalho remota continuou neste ano, quando essa abordagem se tornou um dos principais métodos de propagação de várias famílias difundidas, como Crysis, Purgen/GlobeImposter e Cryakl. Além disso, aproximadamente 65% das empresas atingidas por ransomware disseram ter perdido o acesso a um volume significativo ou até a todos os seus dados. Uma em cada seis das que pagaram o resgate não conseguiu recuperar seus dados. Esses números são muito consistentes com os de 2016.
Fonte: ComputerWorld
