Os modelos de negócios em evolução e a rápida mudança global para o trabalho remoto — combinados com o uso crescente de criptomoedas — estão criando novas ameaças de ransomware para empresas em todos os lugares. No entanto, embora as ameaças estejam aumentando, o uso de novos recursos poderosos na forma de ferramentas de análise de blockchain para combater essa tendência dispendiosa também está crescendo.
O ransomware, um tipo de software malicioso que pode bloquear o acesso a sistemas de computador ou dados valiosos, muitas vezes paralisando processos críticos de negócios, está permitindo que criminosos cibernéticos lucrem extorquindo grandes e pequenas empresas mediante pagamentos em criptomoedas.
No entanto, os especialistas em análise de blockchain estão acompanhando cada vez mais a trilha de dinheiro, rastreando o movimento de recursos ilícitos para fornecer soluções e novas defesas. Investigadores dos EUA, por exemplo, fizeram um avanço encorajador em maio deste ano, aproveitando o poder da análise de blockchain para recuperar rapidamente US$ 2,3 milhões dos US$ 4,4 milhões pagos em um ataque à gigante de energia dos EUA, Colonial Pipeline Co.
De acordo com a empresa de análise de blockchain Chainalysis, endereços vinculados a ransomware extorquiram pelo menos US$ 81 milhões em criptomoedas até 10 de maio de 2021, após acumular um recorde de US$ 406 milhões em 2020. A Chainalysis observa que o valor real é provavelmente muito mais alto, já que as empresas muitas vezes não reportam os caros ataques de ransomware, que vem aumentando a cada dia.
Estima-se que 41% das organizações tenham reportado um aumento no número de incidentes de crimes cibernéticos, incluindo ataques do tipo ransomware, nesse período de trabalho remoto. Os casos continuam aumentando. O ataque de ransomware contra a Colonial Pipeline, operadora do maior oleoduto dos Estados Unidos, interrompeu o fornecimento de petróleo e gás nos Estados Unidos, e fez com que a empresa pagasse US$ 4,4 milhões em bitcoins para desbloquear sua rede.
Dados recentes indicam que a maioria das vítimas de ransomware está pagando para limitar interrupções e danos aos negócios. A seguradora global Hiscox Group, no seu “Relatório de Preparação para Ataques Cibernéticos de 2021”, estima que cerca de 60% dos clientes foram afetados5. E o pagamento não necessariamente garante a recuperação total dos dados.
Em média, as empresas que pagaram resgates recuperaram apenas 65% dos seus dados criptografados, enquanto 29% delas recuperaram apenas metade dos seus dados, de acordo com um relatório recente da empresa de segurança cibernética Sophos, intitulado “A situação do ransomware em 2021”, após uma pesquisa global com mais de 5 mil organizações6. A Sophos observa que 37% das empresas pesquisadas reportaram ter sido atingidas no ano passado por ataques de ransomware, o que a Sophos chama de a “grande ameaça” para as empresas atuais.
O crime organizado está lucrando
Os ataques de ransomware também estão aumentando em sofisticação. Além de criptografar dados para paralisar os negócios, os hackers atuais muitas vezes extraem ou roubam dados confidenciais ou críticos para o negócio em troca de resgate.
Se nenhum pagamento for feito, os dados são vazados publicamente. Enquanto isso, o chamado “malware comum” pode surgir em sistemas de negócios como um malware de baixo nível, mas é projetado para acessar um alvo, obter dados valiosos e compartilhá-los com invasores para que eles iniciem suas tentativas de extorsão.
Além disso, a combinação de criptomoedas e ransomware criou uma ferramenta poderosa para grupos do crime organizado. A realidade é que o ransomware está fornecendo um alto retorno sobre o investimento para os criminosos, e o crescimento rápido da liquidez nos mercados de criptomoedas está criando mais oportunidades para ataques lucrativos às empresas.
Usando análises de blockchain para rastrear o dinheiro
Felizmente, as ferramentas de análise de blockchain estão cada vez mais sendo utilizadas por autoridades e provedores de serviços de ativos virtuais (VASP, na sigla em inglês), empresas que fornecem serviços relacionados a criptoativos e corretoras de criptoativos, como a Coinbase, para monitorar transações e detectar padrões questionáveis ou reveladores relacionados a ataques de ransomware. Os profissionais da KPMG também estão implementando ferramentas de análise de blockchain para ajudar os clientes a rastrear o dinheiro.
O bitcoin atualmente é a criptomoeda mais usada em ataques e é considerada a mais detectável das criptomoedas, tornando mais fácil para as ferramentas de análise de blockchain rastrear as etapas realizadas por agentes mal-intencionados.
Os especialistas podem tirar vantagem do fato de que o bitcoin não é completamente anônimo, mas sim “pseudoanônimo”. Cada transação é visível no blockchain público do bitcoin e, embora os dados da transação não contenham informações sobre a verdadeira identidade de um remetente ou destinatário, os endereços de bitcoin podem fornecer pistas para identidades.
Os provedores de análises de blockchain agregam informações fora do blockchain — conhecidas como “dados fora da cadeia” — para identificar os remetentes e destinatários dos recursos. Para conseguir isso, a análise avalia os dados históricos do blockchain, combinados com o conhecimento de bons e maus agentes e demais técnicas para detectar padrões de transações. Isso possibilita identificar os endereços de blockchain de agentes ilícitos e fornece uma oportunidade crítica para rastrear recursos ilícitos.
A criptomoeda lavada normalmente chega — por meio de corretoras de criptomoedas — aos bancos, conforme os criminosos convertem a criptomoeda em moeda fiduciária. Em suas jornadas, os criminosos podem usar “mixers” ou corretoras não oficiais para cobrir seus rastros, misturando seus bitcoins com outros usuários para tornar a detecção mais difícil.
Os hackers também podem acessar plataformas peer-to-peer (P2P) e trocar criptomoedas com outras pessoas para evitar as autoridades. Os invasores ainda usam um padrão chamado “peel chain” para disfarçar fundos ilícitos, que consiste basicamente em uma cadeia de várias carteiras de bitcoins pelas quais os fundos provenientes de ataques de ransonware passam para esconder o rastro de criptomoedas obtidas ilegalmente.
Fazendo progressos para combater ataques caros
Felizmente, como podemos ver, as ferramentas de análise de blockchain — que são diferentes das técnicas e sistemas típicos de combate à lavagem de dinheiro — podem ajudar os VASPs e as autoridades a rastrear carteiras e transações de criptomoedas em busca de ligações com atividades ilícitas. Elas também fornecem pontuações de risco para os endereços com os quais os usuários estão interagindo, idealmente permitindo que eles identifiquem, gerenciem e mitiguem os riscos. Isso está ajudando as empresas a evitar que fundos ilícitos sejam lavados por meio dos seus sistemas, aumentando a possibilidade de detectar essa atividade e denunciá-la às autoridades.
Como já podemos observar, as ferramentas de blockchain impulsionam o progresso para tornar os ataques de ransomware menos atraentes. Os investigadores dos EUA conseguiram recuperar milhões pagos no ataque à Colonial Pipeline, mencionado acima. Poucos dias após o pagamento do resgate, a empresa de análise de blockchain Elliptic identificou a carteira de bitcoin que recebeu o dinheiro e observou que ela havia recebido pagamentos de bitcoin desde março. Embora a maioria destes pagamentos tenha sido movimentada, cerca de US$ 2 milhões permaneceram na mesma conta e foram apreendidos pelo FBI7.
Os profissionais da KPMG estão aproveitando as ferramentas de análise de blockchain para ajudar os clientes a identificar o dinheiro sujo relacionado a um ataque de ransomware. Eles estão trabalhando em diferentes ações para apoiar os clientes neste contexto:
- Ajudando os VASPs e as instituições financeiras expostas no projeto de modelos de combate à lavagem de dinheiro (AML) e ao financiamento do terrorismo (CTF) que permitem a identificação, detecção e mitigação de riscos associados à entrada de recursos ilícitos.
- Integrando a funcionalidade de ferramentas analíticas de blockchain dentro da função de monitoramento operacional.
- Projetando cenários que permitam a detecção de padrões de risco potencial no comportamento dos clientes e identificando os elos utilizados para permitir o recebimento de fundos relacionados a um ataque de ransomware.
- Realizando relatórios de due diligence sobre a origem de fundos ilícitos para avaliar sua conexão com ataques de ransomware ou a dark web.
Enfrentando o perigo e as ameaças crescentes de hoje
Uma pesquisa da Verizon indica que até 90% das campanhas de ransomware funcionam explorando vulnerabilidades conhecidas para obter o acesso inicial8.
Também é importante observar como o risco de terceiros está se tornando significativo. A troca de fornecedores no caso de um ataque, ou durante uma interrupção da cadeia de suprimentos relacionada à pandemia, costuma ser acelerada sem o rigor adequado, criando novas ameaças.
Esses desafios ganharam força em meio ao grande aumento na adoção de serviços em nuvem, que acompanha a tendência atual de trabalhar em casa. A tecnologia e as ferramentas em nuvem que fornecem acesso instantâneo às redes corporativas têm sido muito convenientes para as empresas, mas também para invasores potenciais.
Para piorar a situação, o “ransomware como serviço” está aumentando a eficiência de agentes mal-intencionados. Basicamente, alguém agrupa um conjunto de ferramentas utilizadas em um ataque, permitindo que os criminosos cibernéticos criptografem os dados secretamente dentro da organização comprometida e peçam o resgate para liberá-los.
Em última análise, após o ataque, as empresas devem abordar precisamente como um ataque ocorreu. No entanto, as empresas muitas vezes presumem que, uma vez que o resgate é pago, o problema está resolvido, quando, na verdade, os invasores costumam retornar com novas demandas de extorsão.
Também há a necessidade de as corretoras de criptomoedas implementarem controles adequados. Se os bitcoins obtidos por hackers vão para uma corretora, ela deve ter controles e medidas contra a lavagem de dinheiro em vigor para rastrear e, idealmente, identificar bitcoins ou outros criptoativos adquiridos ilegalmente. Os bancos e VASPs também devem aumentar as defesas e suas capacidades para evitar que o dinheiro de ataques de ransomware entre nas suas plataformas.
Idealmente, as organizações precisam melhorar todas as defesas nos diversos vetores de ataque que estão surgindo nas empresas remodeladas de hoje, para detectar problemas e evitar o risco de proliferação de ransomware nas redes comerciais. Os profissionais de segurança cibernética da KPMG estão trabalhando com os clientes com sucesso em vários setores para combater as ameaças atuais. Aqui estão algumas ações que recomendamos que as empresas tomem agora e no futuro para ajudar a melhorar a segurança, o gerenciamento de riscos e a resiliência cibernética:
Ações de segurança para o presente
- As empresas, corretoras e bancos devem implementar ferramentas de análise de blockchain e controles de combate à lavagem de dinheiro, adaptados para gerenciar os serviços e riscos de criptomoeda específicos de hoje·
- Avaliar os impactos potenciais e da perda de dados e sistemas para o seu negócio, preparar um plano de ação de resposta e testá-lo.
- Atualizar o treinamento de conscientização sobre segurança e os recursos para o trabalho após a covid-19.
- Verificar a identidade, a autenticação e o acesso aos sistemas de TI.
- Verificar as capacidades de Detecção e Resposta de Endpoint (EDR, na sigla em inglês) e o que você pode registrar e monitorar.
- Verificar sua capacidade de resposta a incidentes e backups, e utilize um hacker ético para testar totalmente a sua resposta.
Ações de segurança para o futuro
- Priorizar o desenvolvimento contínuo de defesas e contramedidas para enfrentar os riscos conforme os ataques custosos evoluem e se proliferam. Os bancos estão expostos conforme os clientes recebem moedas ilegais relacionadas a ataques de ransomware.
- Avaliar todas as mudanças tecnológicas em busca de erros em potencial e examinar os ambientes de trabalho remoto em busca de novas vulnerabilidades. Examinar como as mudanças no processo ou inovações tecnológicas podem aumentar o risco de uma ameaça interna. Incorporar a segurança em todos os processos de entrega de TI para ajudar a garantir que os erros e vulnerabilidades sejam resolvidos o mais rápido possível.
- Realizar um exercício baseado em um cenário que terá o maior impacto na sua organização. Implementar um programa de avaliações precisas e abrangentes que testará regularmente suas defesas e recursos de resposta contra ameaças e vetores relevantes.
- Entender exatamente o que a adoção e ampliação de serviços em nuvem significam em relação às responsabilidades de segurança compartilhadas.
Responder com sabedoria e proatividade à ameaça crescente de ransomware tornou-se fundamental para a continuidade dos negócios, e as empresas não podem mais perder tempo e devem buscar a melhoria de suas defesas e estratégias de resposta, pois essa tendência dispendiosa e potencialmente destrutiva continua.
Saiba mais
Entre em contato conosco
conecte-se conosco
- Encontrar escritórios kpmg.findOfficeLocations
- kpmg.emailUs
- Midias Sociais KPMG kpmg.socialMedia
Meu perfil
Conteúdo exclusivo e personalizado para você