Os maiores ransomwares da história

/in

Os ataques de ransomware são um pesadelo digital que parece saído de um filme, mas infelizmente é uma realidade severa enfrentada por organizações em todo o mundo. Em diferentes setores, da saúde ao ensino superior, todos estão sujeitos a este tipo de crime cibernético.

É comum que ataques de ransomware tragam perdas financeiras relevantes para uma companhia, além de diversos prejuízos que podem impactar na reputação e confiabilidade de uma marca.

Neste postblog separamos os 11 principais ransomware da última década, trazendo em mais detalhes as estratégias engenhosas dos atacantes, a magnitude das perdas financeiras, e a necessidade de medidas proativas de cibersegurança que podem evitar que sua empresa passe por algo do tipo.

1. ExPetr / NotPetya

  • Tipo de Ataque: Ransomware (um wiper explorando uma vulnerabilidade do SMB)
  • Ano: 2017
  • Atacantes: Provavelmente atores de ameaça patrocinados pela Rússia
  • Empresa Alvo: Diversas, mas impactou severamente a Maersk e a Merck
  • Impacto Monetário: Estimado em $10 bilhões

Em junho de 2017, o ataque de ransomware ExPetr, também conhecido como NotPetya, varreu o mundo, causando significativas interrupções e danos. Ao contrário do ransomware convencional, o ExPetr não foi projetado para extorquir dinheiro; em vez disso, foi projetado para causar destruição máxima. Ele foi projetado para atacar a Ucrânia, mas foi muito eficaz para ser contido.

O NotPetya logo foi descoberto como sendo um wiper – malware projetado para apagar dados – disfarçado. Ele visava sistemas Windows, explorando uma vulnerabilidade do SMB chamada EternalBlue, que também foi explorada pelo famoso ransomware WannaCry um mês antes.

O wiper se espalhou rapidamente, criptografando o registro de inicialização mestre (MBR) para tornar os sistemas afetados não inicializáveis. Uma vez dentro de uma rede, ele usava uma variedade de métodos, incluindo a ferramenta Mimikatz, para coletar credenciais e se espalhar lateralmente.

A Maersk, uma empresa de transporte global, e a gigante farmacêutica Merck foram algumas das mais afetadas, com a Maersk relatando perdas de aproximadamente $300 milhões. O dano financeiro total causado pelo NotPetya foi estimado em cerca de $10 bilhões, tornando-o o ataque conhecido mais caro da história.

2. WannaCry

  • Tipo de Ataque: Ransomware (vulnerabilidade no protocolo SMB)
  • Ano: 2017
  • Atacantes: Acredita-se ser o Grupo Lazarus
  • Empresa Alvo: Múltiplas (ataque global); usuários do Microsoft Windows
  • Impacto Monetário: estimado em $4 bilhões.

Em maio de 2017, o ataque de ransomware WannaCry se espalhou por 150 países, afetando mais de 200.000 computadores. As estimativas iniciais de custo atingiram cerca de $4 bilhões, mas alguns grupos afirmaram que as perdas futuras potenciais apenas nos EUA poderiam exceder $7 trilhões.

O ataque de ransomware WannaCry foi particularmente eficaz e danoso devido ao seu método de propagação e às vulnerabilidades que explorou. O WannaCry capitalizou uma vulnerabilidade crítica na implementação da Microsoft do protocolo Server Message Block (SMB) chamado EternalBlue. A vulnerabilidade acredita-se ter sido desenvolvida pela Agência de Segurança Nacional dos EUA (NSA) e vazada posteriormente por um grupo chamado Shadow Brokers.

O objetivo do WannaCry, como todo ransomware, era criptografar arquivos no computador da vítima, tornando-os inacessíveis. Uma vez que os arquivos foram criptografados, o ransomware exibia uma tela informando a vítima sobre a criptografia e exigindo um resgate em Bitcoin em troca de uma chave de descriptografia. A demanda padrão era de $300, que seria dobrada se o pagamento não fosse feito dentro de três dias.

Depois de infectar um sistema, o WannaCry agia como um worm, movendo-se lateralmente através de redes e se espalhando automaticamente sem nenhuma interação do usuário. Isso lhe dava a capacidade de se propagar rapidamente em uma escala global massiva, causando danos generalizados e interrompendo infraestruturas críticas como serviços de saúde, finanças, logística e redes de transporte.

3. GandCrab

  • Tipo de Ataque: Ransomware-as-a-service (RaaS) (phishing, exploit kits)
  • Ano: 2018-2019
  • Atacantes: Desconhecidos, operadores anunciaram ‘aposentadoria’ em 2019
  • Empresa Alvo: Diversas, incluindo empresas e indivíduos (PCs usando MS Windows)
  • Impacto Monetário: Estimado em ter extorquido mais de $2 bilhões de vítimas

O GandCrab surgiu em 2018 e rapidamente se tornou um dos ataques de ransomware mais difundidos e lucrativos. O que diferenciava o GandCrab era seu modelo RaaS, onde o malware era licenciado para afiliados que então conduziam ataques e compartilhavam uma porcentagem dos lucros com os desenvolvedores do GandCrab.

O ransomware era principalmente propagado por meio de e-mails de phishing e kits de exploit, especialmente os kits GrandSoft e RIG. Uma vez no sistema de uma vítima, o GandCrab criptografava arquivos e exigia um resgate em criptomoeda Dash para descriptografá-los.

4. Locky

  • Tipo de Ataque: Ransomware (e-mails de phishing distribuindo uma macro em um documento do Word)
  • Ano: 2016 – 2018
  • Atacantes: Desconhecidos, possivelmente os hackers Dridex (também conhecidos como Evil Corp ou TA505)
  • Empresa Alvo: Diversas (predominantemente provedores de saúde nos EUA, Canadá, França, Japão, Coreia e Tailândia)
  • Impacto Monetário: Estimado em $1 bilhão.

O Locky, ativo principalmente entre 2016 e 2018, foi uma das cepas de ransomware mais prolíficas, se espalhando por meio de campanhas massivas de phishing. Era entregue por meio de um e-mail com um anexo de documento Word malicioso. Uma vez que o usuário abria o documento e habilitava as macros, o payload do ransomware era baixado e executado.

O Locky criptografava uma ampla gama de tipos de arquivos de dados, embaralhava os nomes dos arquivos e exigia um pagamento em Bitcoin para descriptografia. Notavelmente, também podia criptografar arquivos em compartilhamentos de rede, amplificando seu potencial de danos. O Locky usava uma combinação de criptografia RSA e AES, tornando os arquivos da vítima inacessíveis até que um resgate fosse pago. Normalmente, os atacantes exigiam entre 0,5 a 1 Bitcoin.

5. Ryuk

  • Tipo de Ataque: Ransomware (comprometimento inicial, geralmente infecção por TrickBot)
  • Ano: 2018-presente
  • Atacantes: Não está claro, possivelmente vários grupos usando o malware Ryuk ou Wizard Spider (Rússia)
  • Empresa Alvo: Diversas, principalmente saúde e municípios.
  • Impacto Monetário: Algumas fontes afirmam que eles fizeram mais de $150 milhões; demandas de resgate individuais relatadas de 15 a 500 Bitcoin.

Emergindo em meados de 2018, o ransomware Ryuk rapidamente se tornou uma grande ameaça para grandes organizações. Ao contrário de muitas campanhas de ransomware que usam distribuição em massa automatizada, o Ryuk é entregue manualmente após uma comprometimento inicial da rede. Os atacantes realizam extenso mapeamento de rede, exfiltração de dados e coleta de credenciais antes de lançar o ransomware Ryuk, causando máxima interrupção.

O Ryuk usa uma combinação de RSA-2048 e AES-256 para criptografia, tornando-a virtualmente inquebrável sem as chaves de descriptografia. O malware também é projetado para criptografar unidades de rede, recursos e hosts remotos. O Ryuk foi responsável por numerosos ataques de alto perfil, com demandas de resgate variando de 15 a 500 Bitcoin (aproximadamente $100.000 a $3,7 milhões). A lista de comunidades que pagaram resgate inclui o condado de Jackson, Geórgia ($400.000), Riviera Beach, Flórida ($594.000) e o condado de LaPorte, Indiana ($130.000). Bedform, MA, e Nova Orleans se recusaram a pagar.

6. REvil/Sodinokibi

  • Tipo de Ataque: Ransomware (vulnerabilidade zero-day)
  • Ano: 2019-2021
  • Atacantes: Grupo REvil
  • Empresa Alvo: Kaseya e clientes downstream; JBS
  • Impacto Monetário: Exigiram $70 milhões de resgate por código de descriptografia universal.

O grupo REvil surgiu como uma grande ameaça de ransomware em 2019, mas suas operações mais disruptivas começaram em 2020. Suas táticas evoluíram ao longo do tempo, mas os principais métodos eram visar vulnerabilidades em software ou enganar usuários para baixar o ransomware por meio de e-mails de phishing ou explorando fraquezas no Protocolo de Área de Trabalho Remota (RDP). Uma vez dentro de uma rede, o REvil se movia lateralmente, escalando privilégios, ganhando controle administrativo e, em seguida, implantando o ransomware para criptografar arquivos no sistema afetado.

O REvil é conhecido por usar um método de dupla extorsão. Antes de lançar o processo de criptografia, eles roubavam dados sensíveis das redes-alvo. Após criptografar os arquivos da vítima, eles exigiam um resgate em troca da chave de descriptografia. Se as vítimas hesitassem ou se recusassem a pagar, o REvil ameaçava vazar os dados roubados em seu “Happy Blog” para aumentar a pressão sobre as vítimas.

Um de seus ataques mais notórios foi o ataque à cadeia de suprimentos do Kaseya VSA em 2021. O REvil explorou uma vulnerabilidade zero-day no software Kaseya VSA, uma ferramenta usada por organizações de TI para gerenciar e monitorar a infraestrutura de TI. Ao explorar essa vulnerabilidade, eles puderam distribuir ransomware para muitos dos clientes da Kaseya, afetando até 1.500 empresas em todo o mundo.

Outro ataque significativo envolveu a JBS, a maior processadora de carne do mundo. Nesse caso, o REvil usou uma campanha bem-sucedida de spear-phishing para obter acesso aos sistemas da JBS, levando a JBS a pagar $11 milhões para evitar o vazamento de dados.

7. DoppelPaymer

  • Tipo de Ataque: Ransomware (spear-phishing, vulnerabilidades não corrigidas)
  • Ano: 2019-Presente
  • Atacantes: Grupo DoppelPaymer
  • Empresa Alvo: Diversas, incluindo a cidade de Torrance, CA, Pemex (Companhia Petrolífera Mexicana) e o Hospital Universitário de Düsseldorf (resultando na morte de um paciente)
  • Impacto Monetário: Estimado em dezenas de milhões; a Europol relata pelo menos €40 milhões

O DoppelPaymer surgiu em 2019 e, ao contrário de muitas campanhas de ransomware que usam sistemas automatizados para distribuição em massa, ele é entregue manualmente após uma comprometimento inicial da rede. Para maximizar a interrupção, os atacantes realizam extenso mapeamento de rede, exfiltração de dados e escalonamento de privilégios antes de iniciar o ransomware DoppelPaymer.

O ransomware usa multithreading para criptografia mais rápida, e também pode operar offline, criptografando arquivos sem precisar se comunicar com seus servidores de comando e controle. O DoppelPaymer foi responsável por vários ataques de alto perfil, com demandas de resgate variando de 2 a 100 Bitcoin, e violações de dados levando a informações sensíveis sendo vendidas na dark web.

8. SamSam

  • Tipo de Ataque: Ransomware (implantação manual após penetração na rede)
  • Ano: 2016-2018
  • Atacantes: Os EUA indiciaram Faramarz Shahi Savandi e Mohammad Mehdi Shah, do Irã.
  • Empresa Alvo: Mais de 200 vítimas, incluindo municípios, hospitais e instituições públicas.
  • Impacto Monetário: Mais de $6 milhões em pagamentos de resgate e $30 milhões em outras perdas foram estimados.

De 2016 a 2018, o ransomware SamSam visou uma variedade de setores, especificamente saúde, governo e educação. Ao contrário de outros ataques de ransomware que geralmente são automatizados, os atacantes implantaram manualmente o SamSam após obter acesso às redes-alvo por meio de servidores JBoss ou explorando vulnerabilidades em VPNs ou conexões RDP. Eles então escalavam privilégios e se moviam lateralmente pela rede antes de implantar o ransomware.

A cidade de Atlanta e o Hancock Health estão entre as vítimas notáveis, com demandas de resgate muitas vezes superiores a $50.000. O ataque causou uma grande interrupção, com a cidade de Atlanta gastando mais de $2,6 milhões em esforços de recuperação.

9. NetWalker/UCSF

  • Tipo de Ataque: Ransomware (phishing, exploração de vulnerabilidades VPN)
  • Ano: 2020
  • Atacantes: NetWalker (também conhecido como “Malito”, também conhecido como Sebastien Vachon-Desjardins, um nacional canadense)
  • Empresa Alvo: Dezenas de vítimas, especificamente a Universidade da Califórnia, São Francisco (UCSF)
  • Impacto Monetário: Dezenas de milhões; um resgate de $1,14 milhão da UCSF)

O NetWalker, uma empresa RaaS, é conhecido por mirar aqueles que provavelmente pagariam grandes resgates devido à natureza crítica de seus dados. O ransomware é normalmente entregue por meio de e-mails de phishing com anexos maliciosos, explorando vulnerabilidades em dispositivos de rede privada virtual (VPN) ou forçando as credenciais do Protocolo de Área de Trabalho Remota (RDP). Uma vez dentro da rede, o NetWalker pode se mover lateralmente, escalar privilégios e, em seguida, implantar o ransomware.

Em junho de 2020, a UCSF foi vítima de um ataque de ransomware NetWalker que interrompeu significativamente suas operações. O ataque à UCSF, que afetou principalmente a infraestrutura de TI da Escola de Medicina, não comprometeu o atendimento ao paciente ou a pesquisa em andamento sobre COVID-19, mas o ransomware criptografou dados acadêmicos críticos e registros importantes.

10. Colonial Pipeline

  • Tipo de Ataque: Ransomware (phishing, exploração remota de sistemas)
  • Ano: 2021
  • Atacantes: Acredita-se ser o grupo de hackers conhecido como DarkSide.
  • Empresa Alvo: Colonial Pipeline
  • Impacto Monetário: $4,4 milhões de resgate

Em maio de 2021, um grupo de hackers chamado DarkSide lançou um ataque de ransomware na rede de TI da Colonial Pipeline. O grupo explorou uma conta VPN exposta com uma senha reutilizada, roubando 100 gigabytes de dados em duas horas. Para isolar os sistemas de tecnologia operacional da rede de TI comprometida, a Colonial Pipeline desligou suas operações, causando uma interrupção no fornecimento de combustível ao longo da costa leste.

Para recuperar o controle de seus sistemas, a empresa pagou um resgate de 75 Bitcoin, aproximadamente $4,4 milhões naquela época. Isso marcou o maior ataque cibernético divulgado na infraestrutura crítica dos EUA. Em resposta, o governo dos EUA lançou iniciativas como stopransomware.gov e a Força-Tarefa Conjunta de Ransomware para reforçar as defesas cibernéticas da nação.

11. CryptoLocker

  • Tipo de Ataque: Ransomware (Cavalo de Troia)
  • Ano: 2013-2014
  • Atacantes: Evgeniy Mikhailovich Bogachev (Rússia) é procurado pelo FBI por este papel
  • Empresa Alvo: Diversas, principalmente usuários do Windows
  • Impacto Monetário: Aproximadamente $3 milhões em pagamentos de resgate.

O ransomware CryptoLocker é um Cavalo de Troia entregue principalmente às vítimas por meio de anexos de e-mail maliciosos, geralmente na forma de um arquivo ZIP se passando por um PDF. Uma vez que a vítima abria o arquivo, o malware criptografava uma variedade de tipos de arquivos, incluindo documentos e fotos, no computador da vítima e em unidades de rede mapeadas. A vítima então via uma exigência de resgate, geralmente cerca de $300 em Bitcoin ou por meio de um voucher pré-pago, com um prazo para pagamento. Se o resgate não fosse pago dentro do prazo estipulado, a chave de descriptografia era excluída, deixando os arquivos permanentemente inacessíveis.

O ransomware era único para a época por usar métodos avançados de criptografia, tornando virtualmente impossível para as vítimas recuperarem seus arquivos sem pagar o resgate. Ele também usava uma infraestrutura descentralizada para comando e controle, aproveitando a botnet Gameover ZeuS, o que tornava difícil para as autoridades interrompê-lo.

O CryptoLocker foi eventualmente neutralizado em maio de 2014 por meio da Operação Tovar, um esforço conjunto de aplicação da lei internacional e empresas de cibersegurança.

O Papel do Pentest na Prevenção ao Crime Cibernético

Depois de ler os detalhes, fica claro porque as empresas precisam de testes de penetração como parte de sua estratégia de cibersegurança.

Os pentests são peça fundamental na identificação e correção de vulnerabilidades,  melhorando a postura de segurança de uma organização e ajudando-as a construir resiliência cibernética, seja contra ransomware ou outros tipos de ciberataques.