Principais ataques do Ransomware na nuvem atualmente

Certamente, não há escassez de preocupações com segurança na nuvem para empresas hoje em dia. Há constantemente novas manchetes, posts de blogs, estatísticas e outras informações apontando para o fato de que falhas de segurança, malware, ransomware, eventos de vazamento de dados, phishing e outras preocupações de segurança não estão desaparecendo. Na verdade, eles estão aumentando à medida que os invasores estão ficando mais proficientes com mecanismos de entrega e novas formas de se infiltrar em redes e sistemas de usuários finais. As apostas hoje são maiores do que nunca. Os dados estão gerando negócios para a maioria das organizações que utilizam a tecnologia para realizar operações comerciais normais. Ao contrário de apenas uma década ou mais atrás, o número de empresas que não utilizam tecnologia para algum tipo de operação crítica para os negócios é muito pequeno.

O ransomware é indiscutivelmente a tendência mais alarmante em softwares mal-intencionados usados ​​pelos invasores hoje em dia. Ele causou estragos nas empresas e em seus dados nos últimos anos e continua sendo uma tendência crescente e uma ferramenta de escolha para manter os dados como reféns entre os invasores. No ano passado, em 2018, o ransomware continuou sendo uma ameaça crescente. Vamos dar uma olhada nos principais ataques de ransomware do ano passado para analisar esses casos e o que foi aprendido com eles. Além disso, como as organizações estão migrando mais dados na nuvem, o cloud ransomware é uma ameaça real para as empresas?

Principais ataques de ransomware atualmente - O que foi aprendido?

Os atacantes e os agentes de ameaça em geral têm uma ampla gama de ferramentas à sua disposição. No entanto, o ransomware surgiu como uma das ferramentas de escolha entre os atacantes. É simples na natureza e pode se espalhar facilmente por vários meios. O ransomware é tão destrutivo quanto simples na natureza. Os dados são irreversivelmente criptografados e não podem ser repetidos sem pagar o resgate ou restaurar backups dos dados antes da criptografia do ransomware. Além de obter dados de volta, as organizações precisam lidar com o tempo de inatividade inevitável resultante da impossibilidade de acessar dados durante a restauração de dados ou o pagamento do resgate. Vejamos os seguintes ataques de ransomware que ocorreram em 2018 para analisar o ransomware usado e os resultados dos ataques.

  • Hancock Health Hospital attack - 11 de janeiro de 2018
  • Ataque de ransomware da cidade de Atlanta - 22 de março de 2018
  • Porto de Barcelona, ​​Espanha e Porto de San Diego - 20 e 26 de setembro de 2018
  • North Carolina Water Utility - 4 de outubro de 2018
  • San Diego Tribune e LA Times Newspapers - 29 de dezembro de 2018

Tela vista por vítimas criptografadas por ransomware

Muitos, se não todos os ataques listados, foram realizados por atores cibernéticos do governo russo. Em 16 de março de 2018, o Departamento de Segurança Interna alertou que os hackers russos estavam visando entidades governamentais dos EUA, bem como organizações de energia, instalações nucleares, instalações comerciais, água, aviação e setores críticos de manufatura.

Nesse mesmo relatório, o DHS e o FBI caracterizaram a atividade como uma campanha de invasão em vários estágios pelo governo russo. Esta campanha inclui malware encenado , spear phishing e acesso remoto a redes do setor de energia.

Não houve dúvidas de que, após ataques atingidos no início do ano de 2018, o ransomware seria novamente uma ameaça para as empresas e seus dados. Vamos dar uma olhada em alguns dos ataques altamente visíveis que foram perpetrados em vários setores.

Hancock Health Hospital attack - 11 de janeiro de 2018

O ano de 2018 não demorou muito para se encontrar com uma das primeiras manchetes de notícias com um ataque de ransomware de alto perfil. Em 11 de janeiro de 2018, a Hancock Health, localizada em Greenfield, Indiana, relatou sofrer um ataque de ransomware que era uma variante do ransomware SamSam. O SamSam ransomware é uma infecção personalizada que pode ser implantada usando vários vetores de ataque diferentes, incluindo ataques de força bruta em contas fracas. Em 2018, o SamSam era conhecido por usar vulnerabilidades conhecidas no protocolo RDP, servidores da Web baseados em Java ou servidores FTP. Seu cartão de visitas é a renomeação dos arquivos da vítima para "Sinto muito".

Esse foi o caso do hospital Hancock Health, pois a conta administrativa de um fornecedor terceirizado para o portal de acesso remoto foi comprometida. O hospital é um exemplo de como o ransomware é eficaz. O ransomware ocorreu durante uma temporada de gripe extremamente ocupada e o custo da recuperação superou os 4,0 bitcoins que estavam sendo exigidos, que somaram US $ 55 mil. Mesmo que os dados pudessem ser recuperados, o hospital optou por pagar as demandas de resgate dos atacantes para que as operações de negócios voltassem a funcionar.


Cidade de Atlanta Ransomware Attack - 22 de março de 2018

Uma das primeiras manchetes importantes do ano de 2018, ocorrida pouco depois do alerta divulgado pelo DHS e pelo FBI, foi o ataque de ransomware contra a cidade de Atlanta, na Geórgia. A cidade foi afetada por um enorme ataque de ransomware iniciado em 22 de março de 2018. A cidade foi afetada pelo mesmo ransomware usado no ataque hopital da Hancock Health, o SamSam ransomware.

A cidade de Atlanta estava executando uma infraestrutura arcaica para serviços de TI e as auditorias revelaram enormes vulnerabilidades aos sistemas existentes. O SamSam ransomware é conhecido por segmentar esses tipos de sistemas legados com vulnerabilidades conhecidas. Com o ataque de ransomware SamSam na cidade de Atlanta, muitos sistemas foram afetados. Estes incluíam computadores e sistemas do governo, documentos legais, vídeos de dashcam da polícia e arquivos de investigação. O Wi-Fi no Aeroporto Internacional de Atlanta também foi afetado, sendo desativado para ajudar a conter a disseminação da infecção pelo ransomware entre os sistemas.

A cidade de Atlanta optou por não pagar o resgate e, desde então, teve incalculáveis ​​despesas pagas a empreiteiros e outras empresas privadas para ajudar a recuperar os dados. Esta é talvez uma das maiores violações bem-sucedidas da infraestrutura de TI pelo ransomware, resultando em milhões de dólares em danos.

Porto de Barcelona, ​​Espanha e Porto de San Diego - 20 e 26 de setembro de 2018

A meta de ataques em setembro do ano passado foi contra grandes portos marítimos, incluindo o Porto de Barcelona, ​​a Espanha e o Porto de San Diego. Na manhã de quinta-feira, 20 de setembro de 2018, o Porto de Barcelona anunciou via Twitter que vários de seus servidores haviam sido atingidos por ransomware. No entanto, o Porto de Barcelona evidentemente tinha planos de contingência para lidar com a situação, uma vez que as operações podiam continuar sem qualquer interrupção das atividades normais. Nenhum detalhe foi divulgado quanto à variante do ransomware usado no ataque.

Em 26 de setembro de 2018, um ataque semelhante foi realizado no porto de San Diego, como foi evidentemente direcionado e atingido por um ataque de ransomware. Os invasores exigiram pagamento de bitcoin por um valor não revelado. No caso do Porto de San Diego, diferentes serviços foram interrompidos devido ao ataque e causaram muitos inconvenientes ao público com vários acessos a licenças, registros e outros dados.

Carolina do Norte Water Utility - 4 de outubro de 2018

O ONWASA na Carolina do Norte foi atingido por ransomware em 4 de outubro de 2018. Acredita-se que seja o trojan EMOTET que atacou seus sistemas em 4 de outubro e nove dias depois o Ryuk ransomware começou a criptografar arquivos em vários sistemas . Ryuk é uma forma de ransomware que é usada exclusivamente para ataques pontuais de sistemas direcionados. Ele intencionalmente só atinge ativos cruciais e recursos do sistema e geralmente é controlado manualmente por invasores.

No caso da empresa de serviços públicos da Carolina do Norte, os atacantes enviaram um e-mail para a organização exigindo resgate. No entanto, o utilitário decidiu que não pagaria o resgate, mas sim reconstruir operações e bancos de dados.

San Diego Tribune e LA Times Newspapers - 29 de dezembro de 2018

No final do ano, mais dois ataques de ransomware de alto perfil afetaram as operações dos jornais San Diego Tribune e LA Times. Novamente, a cepa ransomware Ryuk foi usada na execução dos ataques em ambos os jornais. O ataque atrasou distribuído nas edições de sábado do LA Times e do San Diego Tribune. Fontes do Tribune Publishing confirmaram que o incidente foi causado por malware.

Principais ataques do Ransomware na nuvem em 2018

As manchetes acima mencionadas são um aviso justo para as organizações e empresas de hoje que o ransomware é de fato uma ameaça muito formidável para a continuidade dos negócios e os dados usados ​​no dia-a-dia. Mais e mais empresas estão utilizando a nuvem pública para armazenar dados essenciais aos negócios e hospedar serviços essenciais aos negócios, como e-mail e outros. Com esse fato amplamente conhecido e certamente entre os invasores, esses e outros ambientes de nuvem se tornarão cada vez mais alvos de variantes de ransomware. Na verdade, um relatório do Instituto de Tecnologia de Massachusetts (MIT) no início de 2018 relatou que as empresas de computação em nuvem seriam um grande alvo para os invasores. Vamos dar uma olhada em algumas maneiras básicas que o ransomware pode acontecer na nuvem. Esses incluem:


  • Sincronização de arquivos
  • O email


Muitas organizações com presença na nuvem estão utilizando algum tipo de sincronização de arquivos para sincronizar arquivos do local para o armazenamento em nuvem pública. Dois dos maiores fornecedores de Software como serviço, Google e Microsoft, possuem utilitários para realizar essa sincronização de recursos de arquivos. Isso inclui o Google Backup, o Sync e o OneDrive, que sincronizam arquivos do armazenamento local até a nuvem. Se a infecção ocorrer localmente em arquivos armazenados no local e for sincronizada como uma "alteração" no arquivo até a nuvem. Todos os arquivos que são criptografados pelo ransomware local serão sincronizados com o ambiente de nuvem pública pelos utilitários de sincronização. Isso significa que a cópia da nuvem seria criptografada da mesma forma que a cópia local armazenada no local.

Outro meio de ransomware que interrompe os serviços de nuvem pública para as empresas de hoje é o uso de serviços de e-mail baseados em nuvem que podem ser criptografados. Uma nova variante do ransomware, chamada RansomCloud, é usada para criptografar e-mails na nuvem. Esse tipo de ataque geralmente começa com um e-mail de phishing que pode parecer um e-mail oficial da Microsoft como exemplo. Os usuários do Office 365 podem ser enganados pelo e-mail oficial da Microsoft e clicar em um link incorporado no e-mail dizendo "A Microsoft está trabalhando para melhorar sua segurança na nuvem". Tudo o que o usuário precisa fazer é clicar no link para implementar o novo software anti-spam. Ele pode bloquear usuários de seus e-mails em nuvem, arquivos do OneDrive e sites do SharePoint.

Kevin Mitnick, anteriormente um dos hackers mais procurados do “chapéu negro”, é hoje um especialista em segurança cibernética que ajuda as organizações com segurança. Kevin Mitnick define ransomware como a “ameaça número um para sua organização hoje”. Especialmente usando “Spear Phishing” como ferramenta, os invasores querem que o usuário final clique em links, supondo que eles estão clicando em um link legítimo quando, na realidade, ele é malicioso. À medida que ele passa, o ransomware está evoluindo para a nuvem e demonstrou em várias sessões como o ataque “RansomCloud” pode ser realizado . Você pode ver uma demonstração em vídeo deste ataque aqui .

Como as organizações podem se proteger contra o ransomware na nuvem

Como mencionado anteriormente, o ransomware é extremamente perigoso e as organizações só podem recuperar seus dados pagando o resgate ou restaurando arquivos e dados de backups. Um aspecto extremamente preocupante dos ambientes de nuvem pública de hoje, como os encontrados nos ambientes G Suite e Microsoft Office 365 do Google, é que eles não possuem nenhum mecanismo nativo de backup corporativo incorporado à solução.

O G Suite e o Office 365 têm apenas uma aparência fraca do que você pode considerar como backup e apenas com determinados serviços. Atualmente, com o G Suite, os usuários podem restaurar arquivos "excluídos" por apenas alguns dias. O Office 365 recentemente adicionou a capacidade de reverter “versões” de arquivos por até 30 dias. No entanto, esses dois recursos são extremamente carentes de proteção "backup e recuperação" real para organizações que desejam manter a continuidade dos negócios em caso de perda de dados.

O G Suite nem oferece a capacidade de restaurar "versões", mas apenas de itens "excluídos". O Office 365 só oferece recursos de reversão para o OneDrive em até 30 dias, mas nenhum depois disso. Nenhum outro serviço está incluído neste recurso de reversão, incluindo o email, que, como demonstrado por Kevin Mitnick, é facilmente infectado e criptografado pelo RansomCloud. As organizações hoje devem tomar as próprias coisas para proteger seus dados que vivem na nuvem com backups corporativos reais que oferecem os recursos e a funcionalidade necessários.

O Spinbackup fornece os recursos e as funcionalidades necessárias para que as organizações possam ter a capacidade de restaurar dados armazenados na nuvem com eficiência no caso de um ataque de ransomware, como o RansomCloud. Quais recursos são fornecidos pelo Spinbackup que podem ajudar a proteger as organizações contra o ransomware?


  • Backups diários automáticos - 1x ou 3x diários
  • Versões ilimitadas de dados
  • Armazenamento de backup multi-nuvem
  • Boa Criptografia de Dados (seus dados de backup são criptografados em voo e em repouso )
  • Proteção Ransomware
  • Proteção contra aplicativos de terceiros arriscados


O ransomware é extremamente perigoso. É talvez a ameaça de segurança mais preocupante para as organizações que hoje procuram proteger seus dados. As recentes infecções de ransomware de alto perfil ocorridas em 2018 são evidências de que o ransomware está apenas tendendo para cima. Como citado nos exemplos do ano passado, as organizações só têm duas opções - pagar o resgate ou restaurar a partir do backup. Os backups são essenciais para qualquer empresa hoje em dia para recuperar-se de desastres, como os causados ​​por ransomware. O ransomware não é simplesmente uma ameaça para ambientes locais.