A Check Point Software publicou o Relatório Global de Ransomware referente ao ano e último trimestre de 2024, enfatizando a crescente sofisticação dos cibercriminosos. O relatório destaca as mudanças significativas no ecossistema de ransomware, incluindo o surgimento de novos grupos de ameaças profissionalizados, suas táticas em evolução e o foco crescente na extorsão de dados.
O cenário do ransomware em 2024 quebrou recordes anteriores e evoluiu em complexidade, consolidando-se como a ameaça cibernética mais predominante para empresas em todo o mundo. Ao longo do ano, os operadores de ransomware realizaram 5.414 ataques publicados, um aumento de 11% em comparação com 2023. Esse crescimento alarmante refletiu não apenas a resiliência dos operadores de ransomware diante da pressão intensificada das forças de segurança, mas também sua capacidade de adaptação, fragmentação e inovação.
Embora o ano de 2024 tenha começado com uma leve queda na atividade de ransomware durante o primeiro trimestre, o segundo e terceiro trimestres apresentaram um aumento constante nos ataques, culminando em um surto dramático no quarto semestre. Com 1.827 incidentes relatados apenas no último trimestre — impressionantes 33% de todos os ataques de ransomware do ano — 2024 terminou como o ano mais ativo já registrado para campanhas de ransomware.
Essa escalada destaca uma mudança crítica no ecossistema de ransomware, impulsionada por ações das forças de segurança, o surgimento de novos atores, metodologias de ataque em evolução e a exploração de tecnologias emergentes.
“As organizações devem reconhecer a sofisticação crescente desses grupos e priorizar a proteção de dados, a detecção de ameaças e estratégias de defesa colaborativa”, observa Omer Dembinsky, gerente do Grupo de Pesquisa de Dados na Check Point Research (CPR).
Agências de segurança: impacto nos grupos legados e o surgimento de novos atacantes
Agências de segurança em todo o mundo lançaram campanhas agressivas contra os principais grupos de ransomware em 2024, alcançando várias vitórias de destaque. Entre elas, destacou-se a Operação Cronos, um esforço internacional coordenado que desferiu um golpe decisivo contra o LockBit, um dos operadores mais notórios de Ransomware-as-a-Service (RaaS).
Operação cronos e seus impactos
Em fevereiro de 2024, a Operação Cronos teve como alvo a infraestrutura do LockBit, resultando em:
.A apreensão de 34 servidores em vários países, incluindo Alemanha, Holanda e Estados Unidos.
.A prisão de operadores-chave na Polônia e Ucrânia.
.A exposição de dados internos do LockBit, incluindo chaves de descriptografia e redes afiliadas, destruindo a confiança dentro do grupo.
De forma semelhante, o ALPHV (BlackCat), outro grande operador, enfrentou interrupções significativas após operações das forças de segurança. Apesar das tentativas de se restabelecer, o grupo sofreu com disputas internas e perda de afiliados. Ao final do ano, tanto o LockBit quanto o ALPHV estavam muito aquém de sua influência anterior, marcando um declínio nos grupos legados.
“A cada ano, o ambiente de ransomware torna-se progressivamente mais complexo. Enquanto as forças de segurança desmontaram com sucesso grandes grupos de RaaS, novos grupos surgiram. Além disso, a mudança da extorsão baseada em criptografia para a extorsão de dados traz novos desafios. No entanto, uma coisa permanece constante: a necessidade de adaptar e aprimorar a proteção de dados, o monitoramento e a rápida detecção de ameaças”, pontua Omer Dembinsky.
A ascensão de grupos fragmentados e descentralizados
A queda desses grandes operadores centralizados criou um vácuo rapidamente preenchido por grupos menores, fragmentados e muitas vezes mais ágeis. Em 2024, surgiram 46 novos grupos de ransomware, elevando o número total de grupos ativos para 95, um aumento de 40% em relação aos 68 grupos ativos em 2023. Essa proliferação reflete um ecossistema de ransomware descentralizado, caracterizado por maior competição, inovação e eficiência operacional.
RansomHub: Um estudo de caso em fragmentação
Entre os novos participantes, o RansomHub emergiu como uma força dominante, superando até mesmo o LockBit em atividade. Responsável por 531 ataques em 2024, o RansomHub exemplifica a nova onda de grupos de ransomware que operam com alto grau de profissionalismo e adaptabilidade. Suas principais características incluem:
.Um modelo RaaS oferecendo aos afiliados 90% dos pagamentos de resgate, retendo 10% para os operadores principais.
.Uso de código vazado para desenvolver variantes proprietárias de ransomware, reduzindo a dependência de plataformas RaaS estabelecidas.
.Um modelo operacional descentralizado que o torna mais resiliente a interrupções por forças de segurança.
“O ecossistema de ransomware em 2024 destaca uma tendência dupla: a queda de grupos legados como o LockBit e a ascensão de novos atores profissionalizados, como o RansomHub. A escala, a sofisticação e o volume dos ataques ressaltam a importância de inteligência e defesa proativas. As organizações não podem mais se permitir uma abordagem reativa”, explica Adi Bleih, pesquisador de Segurança da divisão Check Point External Risk Management (ex-Cyberint, empresa adquirida em agosto do ano passado).
A mudança para extorsão por vazamento de dados com monetização
Um dos movimentos mais significativos de 2024 foi a transição de ataques de ransomware baseados em criptografia para extorsão por vazamento de dados (DXF – Data Leak Extortion). Tradicionalmente, os operadores de ransomware dependiam da criptografia dos dados das vítimas e exigiam pagamento por chaves de descriptografia. No entanto, essa abordagem tornou-se menos eficaz devido a:
.Melhorias nos sistemas de backup das organizações, reduzindo a dependência de descriptografia.
.Queda nas taxas de pagamento de resgate para ataques baseados em criptografia, que caíram para 32% no terceiro trimestre de 2024 (em comparação com 75% em 2019).
Em contraste, os ataques DXF, que envolvem o roubo de dados confidenciais e a ameaça de exposição a menos que um resgate seja pago, mantiveram uma taxa de resolução constante de 35%. O DXF é menos intensivo em recursos e oferece múltiplas vias de monetização, como a venda de dados roubados para concorrentes ou em mercados da dark web.
Impacto Setorial e Geográfico
Setores alvo
O setor de serviços empresariais permaneceu como o principal alvo, representando 451 ataques em 2024 (24,1% de todos os incidentes). Outros setores altamente visados incluíram:
Varejo: Sofre devido a seus vastos bancos de dados de clientes e medidas de segurança cibernética relativamente mais fracas.
Manufatura: Registrou um aumento acentuado no quarto trimestre, com 201 ataques, à medida que operadores de ransomware exploraram a natureza crítica das operações da cadeia de suprimentos.
Saúde: Continuou a ser alvo devido a dados sensíveis de pacientes e baixa tolerância para interrupções operacionais.
Pontos geográficos críticos
Os Estados Unidos permaneceram como epicentro da atividade de ransomware, com 936 ataques apenas no último trimestre do ano, representando 50% dos incidentes globais em 2024. Outras tendências notáveis incluíram:
Um aumento nos ataques na Índia, refletindo sua crescente presença digital e vulnerabilidades.
Reduções na Europa, particularmente na Alemanha, França e Reino Unido, atribuídas a defesas fortalecidas e cooperação entre forças de segurança.
Presença do Brasil entre os dez países mais atacados no trimestre e no ano.
Recomendações essenciais para as organizações
À medida que as ameaças de ransomware se tornam mais complexas, as organizações devem adotar uma abordagem proativa e em camadas para a cibersegurança. As medidas essenciais incluem:
Detecção abrangente de ameaças: Implantar soluções que ofereçam visibilidade em tempo real da atividade de rede e das ameaças emergentes.
Prevenção de vazamento de dados (DLP): Implementar estratégias robustas de DLP para identificar e mitigar tentativas de exfiltração de dados.
Atualizações regulares: Manter os sistemas atualizados para corrigir vulnerabilidades, especialmente em ambientes Linux e VMware.
Treinamento de funcionários: Educar a equipe para reconhecer phishing e outros vetores de ataque.
Defesa colaborativa: Trabalhar com pares do setor e autoridades para compartilhar inteligência e fortalecer as defesas coletivas.
“O sucesso de novos grupos de ransomware demonstra a necessidade urgente de as organizações reforçarem suas defesas. Confiar apenas em medidas reativas não é mais viável. A caça proativa de ameaças, combinada com ferramentas avançadas de gestão de riscos externos, será crucial em 2025”, reforça Adi Bleih.
Perspectivas: Previsões para 2025
Espera-se que o cenário de ransomware em 2025 evolua ainda mais, com várias tendências-chave no horizonte:
Maior sofisticação: Os atores de ameaças integrarão IA e explorarão vulnerabilidades de dia zero para aumentar a eficácia dos ataques.
Novos grupos emergentes: A fragmentação de grupos legados provavelmente dará origem a novos operadores profissionalizados.
Foco em infraestruturas críticas: Indústrias de alto valor, como energia, saúde e manufatura, enfrentarão riscos ainda maiores.
“À medida que o ransomware evolui, nossas defesas também devem evoluir. A crescente complexidade desses ataques exige uma abordagem integrada de cibersegurança—uma que combine tecnologia, inteligência e colaboração na comunidade global de segurança”, conclui Omer Dembinsky.
O ecossistema de ransomware em 2024 demonstrou uma capacidade incomparável de adaptação e evolução, com o surgimento de novos atores, a adoção de táticas de extorsão de dados (DXF) e a fragmentação de grupos legados, criando um cenário de ameaças mais dinâmico e competitivo.
Embora as autoridades tenham feito progressos significativos na desarticulação de grandes players, o volume geral de ataques continuou a crescer, destacando a resiliência dos operadores de ransomware.
De acordo com os pesquisadores da Check Point Software, para combater essa ameaça em constante evolução, as organizações devem priorizar estratégias de defesa proativas, aproveitando tecnologias avançadas e promovendo esforços colaborativos em vários setores. Ao antecipar essas ameaças, as empresas podem mitigar riscos e proteger suas operações críticas em um ambiente cibernético cada vez mais hostil.
Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
JULIANA VERCELLI
juliana.vercelli@inkcomunicacao.com.br
