No ano de 2024, e no primeiro trimestre de 2025, os analistas da Cylo tiveram a oportunidade de observar e estudar diversos ataques de grupos de ransomware. Essas análises foram realizadas por meio de honeypots e sensores instalados em locais estratégicos, permitindo a captura de informações valiosas sobre as táticas e métodos utilizados pelos criminosos cibernéticos.
Além disso, a equipe também obteve dados a partir de informações sigilosas e relatórios específicos, possibilitando um entendimento mais profundo sobre os padrões de ataque, vetores de infecção e estratégias de mitigação para fortalecer as defesas contra esse tipo de ameaça digital.
É interessante entender o que é um “Grupo de Ransomware” e mais alguns conceitos fundamentais.
O QUE SÃO GRUPOS DE GRUPOS DE RANSOMWARE ?
Os grupos de ransomware são organizações criminosas especializadas em ataques cibernéticos que utilizam malware para criptografar dados de vítimas e exigir resgate para restaurar o acesso. Esses grupos operam de forma semelhante a empresas, com estruturas organizadas, modelos de negócios e até mesmo suporte ao “cliente”, no caso, suas vítimas.
COMO SE É POSSÍVEL IDENTIFICAR UM GRUPO DE RAMSONWARE ?
Identificar um grupo de ransomware é sempre um desafio, mas existem algumas técnicas e indicadores que ajudam na atribuição de um ataque a um grupo específico. Cada grupo costuma ter uma “pegada digital” muito clara e específica, que permite a análise. Os principais métodos são: análise da assinatura do malware, técnicas e vetores de ataque, endereços de pagamento e comunicação, vazamento total ou parcial dos dados roubados, inteligência de ameaças e dados públicos e ferramentas de análise de amostras de malwares. Por exemplo, a identificação do grupo RansomHub, um dos predominantes nos ataques a empresas brasileiras, pode ser feita pela análise da extensão dos arquivos criptografados, da nota de resgate com links para negociação na dark web e por intermédio dos métodos de invasão, como a exploração de RDP e dupla extorsão. Além disso, a presença da vítima no site de vazamento de dados do RansomHub confirma a autoria do ataque.
O que são métricas de vulnerabilidades?
As métricas de vulnerabilidades são indicadores usados para avaliar a segurança de sistemas, redes ou aplicações, identificando, classificando e priorizando vulnerabilidades. Elas ajudam a medir o risco, a gravidade e o impacto potencial de falhas de segurança. As principais métricas incluem: CVE, CVSS e EPSS
O QUE É O CVE ?
Um CVE (Common Vulnerabilities and Exposures) é um identificador único atribuído a uma vulnerabilidade de segurança encontrada em software ou hardware. Ele facilita o rastreamento e a comunicação sobre falhas, permitindo que empresas e pesquisadores de cibersegurança ajam rapidamente para corrigir ou mitigar os riscos. Cada CVE contém um código único (por ex.: CVE-2024-12345), uma descrição da vulnerabilidade e, muitas vezes, links para patches ou recomendações de segurança. Os 4 primeiros dígitos identifcam o ano em que a vulnerabilidade foi descoberta e notificada (no exemplo anterior, 2024)
O QUE É O CVSS ?
O CVSS (Common Vulnerability Scoring System) é um sistema de pontuação, amplamente adotado pelo setor de segurança cibernética, que avalia a gravidade de uma vulnerabilidade de segurança. Ele atribui uma nota de 0 a 10, baseada em fatores como facilidade de exploração, impacto nos sistemas e necessidade de interação do usuário. Quanto maior a pontuação, mais crítica é a falha. O CVSS ajuda empresas e profissionais de cibersegurança a priorizarem correções e mitigarem riscos de forma eficaz.
O QUE É O EPSS ?
O EPSS (Exploit Prediction Scoring System) é um sistema que estima a probabilidade de uma vulnerabilidade conhecida (CVE) ser explorada por atacantes em um curto período. Ele utiliza inteligência artificial e dados reais de ataques para calcular um score de 0 a 1, onde valores mais altos indicam maior risco de exploração. O EPSS ajuda empresas a priorizarem correções com base na ameaça real, complementando sistemas como o CVSS.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques digitais com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
Em nossos próximos posts mostraremos dados da nossa análise.
