O ransomware se destaca como uma das formas mais danosas de crime cibernético. A crescente valorização dos dados fez com que criminosos percebessem o potencial de obter pagamentos substanciais ao mantê-los como reféns. Esses ataques se tornaram alarmantemente frequentes, com algumas quadrilhas de ransomware chegando a recrutar membros internos para auxiliá-los.
Organizações que buscam se proteger contra ransomware precisam agora considerar mais do que apenas ameaças externas, pois o próximo ataque pode surgir de dentro.
Por que as quadrilhas de ransomware desejam colaboradores internos?
Solicitar ajuda de funcionários para cometer um crime parece uma ação que levantaria suspeitas, então por que as quadrilhas de ransomware correriam esse risco? A resposta reside no fato de que os colaboradores internos tornam esses ataques mais propensos ao sucesso.
É consenso que os insiders representam riscos maiores do que ameaças externas, pois já possuem acesso a informações confidenciais, e muitas empresas negligenciam esses riscos. Consequentemente, funcionários podem se tornar aliados valiosos para quadrilhas de ransomware, caso sejam convencidos a ajudar. Em vez de invadir sistemas de segurança complexos, os criminosos cibernéticos poderiam simplesmente enviar um arquivo por e-mail para um funcionário instalar em computadores da empresa.
À medida que as defesas de segurança se tornam mais robustas, invadir uma empresa torna-se mais desafiador. Em contrapartida, os humanos permanecem tão suscetíveis à manipulação quanto sempre. Recrutar um insider facilita a execução de um ataque de ransomware bem-sucedido, o que geralmente resulta em um grande pagamento.
Métodos de recrutamento de insiders
Impedir que quadrilhas de ransomware aliciem colaboradores internos começa com a compreensão de como essas quadrilhas operam. Aqui estão alguns dos métodos mais comuns.
Engenharia Social
O phishing e outras formas de engenharia social são responsáveis por uma parcela significativa dos ataques de ransomware, e é fácil entender o porquê. É mais fácil recrutar alguém para ajudar em um crime se essa pessoa não souber o que está fazendo. Quadrilhas de ransomware podem fazer com que funcionários instalem software malicioso sem que eles percebam.
Esses ataques geralmente chegam por e-mail ou mensagens de texto, frequentemente contendo um link ou anexo que aparenta ser legítimo. Quando o insider desavisado clica, o arquivo ou link instala o ransomware em seu dispositivo de trabalho, concedendo acesso interno às quadrilhas sem precisar convencer alguém a cometer um crime intencionalmente.
Contato Direto
Quadrilhas de ransomware também têm se tornado mais diretas nos últimos anos. De acordo com a Bravura Segurança, surpreendentes 65% dos profissionais de TI afirmam que criminosos entraram em contato direto com eles ou com seus funcionários para auxiliar em um ataque de ransomware, um aumento de 17% em comparação com os níveis de 2021.
Semelhante ao phishing, essas abordagens geralmente ocorrem por e-mail, mas algumas quadrilhas de ransomware entram em contato por meio de telefonemas ou redes sociais. Na maioria dos casos, eles tentam convencer os funcionários a ajudar, oferecendo subornos. As quadrilhas oferecem centenas de milhares de dólares em dinheiro, criptomoedas ou uma parte do resgate em troca da instalação do ransomware.
Crowdsourcing
Pesquisadores de segurança também observaram que algumas quadrilhas de ransomware tentam realizar ataques por meio de crowdsourcing. Os criminosos cibernéticos postam em fóruns públicos ou plataformas sociais criptografadas como o Telegram, solicitando que pessoas com acesso interno entrem em contato. Eles podem até mesmo realizar pesquisas públicas sobre quem atacar ou quais dados divulgar.
Essas postagens públicas atingem um público mais amplo, aumentando as chances de obter ajuda privilegiada. De acordo com a Comparitech, com um resgate médio superior a US$ 2 milhões, as quadrilhas de ransomware ganham mais do que o suficiente com um ataque bem-sucedido para recompensar vários colaboradores.
Exemplos de insiders auxiliando invasores de ransomware
Ataques como esses têm como alvo algumas das empresas mais conhecidas do mundo. Em 2021, a AP News noticiou que um criminoso cibernético ofereceu a um funcionário da Tesla US$ 500.000 para instalar ransomware nos computadores da empresa. Nesse caso, o funcionário reportou o incidente, mas isso ilustra a magnitude desses ataques.
Outras empresas tiveram menos sorte. Em 2019, um ex-funcionário insatisfeito da empresa de suporte técnico Asurion recebeu US$ 50.000 por dia de seu antigo empregador após roubar dados de milhões de clientes (conforme reportado pela Bitdefender). A polícia conseguiu prender o ex-funcionário, mas não antes que a empresa já tivesse gasto milhares em pagamentos de resgate.
É importante notar que, embora esses ataques tenham se tornado mais comuns, eles não são necessariamente novos. De acordo com o FBI, um engenheiro da Boeing roubou centenas de milhares de documentos entre o final dos anos 1970 e o início dos anos 2000 como recruta para agências de inteligência chinesas. Embora este caso anteceda o ransomware, ele exemplifica como ameaças internas extremas podem trabalhar para potências externas.
Como prevenir ameaças internas de ransomware
Diante dos riscos consideráveis, as empresas devem fazer todos os esforços para impedir que pessoas de dentro colaborem com quadrilhas de ransomware. Aqui estão três etapas cruciais para atingir esse objetivo.
Crie uma cultura positiva no local de trabalho
Uma das medidas mais importantes que você pode tomar é garantir que os funcionários estejam satisfeitos em seus cargos. Quanto menos um funcionário gostar do seu empregador, maior a probabilidade de ele aceitar um suborno de uma quadrilha de ransomware e ajudar a atacar sua empresa por vingança. Construir um ambiente de trabalho mais positivo minimiza essa ameaça.
Uma remuneração competitiva é um componente importante da satisfação do funcionário, mas não é tudo. O relatório Gallup mostra que apenas 28% dos funcionários citam salários e benefícios como a principal mudança que tornaria seu local de trabalho excelente, em comparação com 41% que citam questões de engajamento e cultura. Trabalhar com os funcionários para garantir que eles se sintam respeitados, seguros e valorizados será um passo muito importante.
Treinar Funcionários
As empresas também precisam treinar seus funcionários para detectar táticas de engenharia social. Muitos ataques de ransomware internos acontecem por acidentes, como clicar em um link de phishing. A chave para interromper esses incidentes é ensinar os funcionários o que procurar.
Erros de ortografia, senso de urgência incomum e situações que parecem boas demais para serem verdade são indicadores comuns de phishing. Em geral, os funcionários não devem clicar ou responder a mensagens não solicitadas e nunca devem fornecer informações confidenciais por e-mail.
Implementar segurança de confiança zero
A segurança de confiança zero é outra etapa fundamental na prevenção de ameaças internas de ransomware. A abordagem de confiança zero trata tudo como potencialmente hostil, exigindo verificação em cada etapa antes de conceder acesso a qualquer coisa ou pessoa. Como parte disso, também limita o acesso, de modo que cada funcionário possa ver apenas o que precisa para realizar seu trabalho.
Esses modelos de segurança são mais difíceis de implementar do que as abordagens tradicionais, mas são a melhor aposta contra ameaças internas. Como mesmo os insiders autorizados podem acessar apenas um número limitado de recursos, o recrutamento de insiders não necessariamente fará com que um ataque de ransomware valha o custo.
Ameaças internas de ransomware são gerenciáveis
A tendência de quadrilhas de ransomware recrutarem pessoas de dentro não é necessariamente nova, mas está em ascensão. Isso deveria ser motivo de preocupação, mas não significa que você não possa se defender.
As ameaças internas de ransomware destacam a importância de limitar a confiança em segurança cibernética. As ameaças podem vir de qualquer lugar, até mesmo de funcionários confiáveis, por isso é melhor bloquear as coisas o máximo possível.