WHITE PAPER

A situação do ransomware na
América Latina em 2022
WHITE PAPER | A situação do ransomware na América Latina em 2022

Introdução
O ransomware é uma das ciberameaças que têm causado maior impacto
nas organizações, na indústria e, inclusive, na economia, nos últimos anos. A
tendência de incidentes e cibercrimes associados ao ransomware continua em
permanente aumento. Segundo o relatório do FortiGuard Labs [1], os incidentes
de ransomware aumentaram quase 11 vezes de 2020 a 2021. Como resultado, não
é surpreendente ver cada vez mais organizações procurando por uma segurança
cibernética que consiga cobrir certos tipos de perdas sofridas por um ataque
cibernético e acordos de resgate. Embora numerosos incidentes de alto perfil
tenham dominado as manchetes internacionais, o impacto real é sofrido por
dezenas de milhares de organizações, de grandes a pequenas empresas, e de
agências federais até governos locais. RESUMO
Em estudo realizado recentemente [2], foi registrado que aproximadamente 85% As conclusões deste relatório
representam a inteligência coletiva
dos líderes de Segurança da Informação e Cibersegurança afirmam ter uma maior
do FortiGuard Labs, extraída de
preocupação com ataques de ransomware do que com outras ameaças, mesmo
uma vasta gama de sensores
quando suas organizações indicam contar com estratégias contra essas ameaças.
de rede que coletam bilhões de
Além disso, encontramos em estudos recentes da IDC [1] que aproximadamente eventos de ameaças observados
37% das organizações globais relataram ter sido vítimas de algum tipo de ataque em ambientes de produção ao
de ransomware em 2021. vivo em todo o mundo. De acordo
com pesquisas independentes
O objetivo deste relatório é indicar um método para a prevenção do ransomware
[1], a Fortinet possui a maior
a partir da identificação das campanhas de cibercrime ativas na América Latina,
abrangência de dispositivos
baseado nas detecções do serviço de antivírus FortiGuard. Cabe destacar que a
de segurança do setor. Essa
Fortinet liderou a participação de mercado em vendas de unidades de segurança vantagem exclusiva oferece uma
[4] na América Latina em 2020, com 53%: mais da metade dos dispositivos para excelente visão do cenário de
cibersegurança da região. ameaças cibernéticas a partir de
várias perspectivas, que temos o
prazer de compartilhar com você.

M.A. ARTURO ERICK TORRES CAVAZOS

| CISSP | NSE7 | CTIA | ECSA | CEH
| eNDP | ITIL
FortiGuard SE - LATAM

Questionário do estudo:

1 Qual a distribuição de ransomware na América Latina?

2 Quais são os países com maior atividade de ransomware na América Latina?

3 Quais são as variantes de ransomware com maior atividade?

4 Como se prevenir do ransomware?

2
WHITE PAPER | A situação do ransomware na América Latina em 2022

Qual a distribuição de ransomware na América Latina?

No FortiGuard Labs fizemos o trabalho de monitorar as atividades relacionadas com sequestro digital (ransomware) na
América Latina, com o objetivo principal de poder estudar suas diferentes variantes, os atores maliciosos e as tendências
dessas ameaças nos diferentes países da região.

APAC

Distribuição de ransomware durante 2022

Durante o primeiro trimestre de 2022 foram detectadas mais de 182.000 tentativas de distribuição de ransomware em nível
global. Isso representa um crescimento de 25,8% em relação ao ano anterior. A América Latina é a 3a região do mundo que
sofre mais ataques, com aproximadamente mais de 16.000 detecções durante o primeiro trimestre do ano. Isto é, a América
Latina tem 9,19% de toda a atividade de ransomware detectada pelos sensores de FortiGuard Labs no primeiro trimestre de
2022.

Se fizermos uma análise baseada em séries temporais, podemos observar que as detecções de ransomware na América
Latina mantêm uma média de 5,571 detecções por mês, por isso é de vital importância que as organizações contem com
mecanismos adequados para detectar ameaças.

Detecções de ransomware na América Latina durante o primeiro trimestre de 2022

3
WHITE PAPER | A situação do ransomware na América Latina em 2022

Quais são os países com maior atividade de ransomware na América Latina?

O México, no primeiro trimestre do ano, foi o país com maior atividade de ransomware, com mais de 14 mil detecções. Esse
número representa 85,9% da região, e é seguido pela Colômbia, com aproximadamente 1.159 detecções (6,94%) e por Costa
Rica, com 710 detecções (4,25%) de distribuição de ransomware.

Ao analisarmos as tendências de distribuição de ransomware em 2022 nesses 3 países, podemos observar que tanto no
México como na Colômbia os ataques mantiveram o mesmo padrão. Por outro lado, na Costa Rica a atividade aumenta no
mês de fevereiro. No entanto, cabe destacar que, até agora, foi observada uma maior atividade dessa ameaça durante o
primeiro mês do ano.

4
WHITE PAPER | A situação do ransomware na América Latina em 2022

Quais são as variantes de ransomware com maior atividade?

As campanhas de ransomware mais ativas na região durante o primeiro trimestre de 2022 foram ReVIL com 1.526 detecções,
detectado principalmente no território mexicano; seguido por LockBit, com 953; e Hive, com 827 detecçõesno primeiro
trimestre do 2022. Essas campanhas de ransomware foram associadas a diferentes incidentes que ocasionaram grande
impacto em organizações do mundo todo.

O Ryuk

é um ransomware desenhado para atacar ambientes

empresariais baseados em sistemas Windows
desde 2018 [6]. Além disso, provocou os maiores
ciberataques da história no setor da saúde. O FBI
estimou que as vítimas pagaram mais de 61 milhões
de dólares para recuperar arquivos criptografados.

O ReVIL
infectou mais de 175.000 máquinas, incluindo o
oleoduto americano Colonial Pipeline. O grupo
supostamente obteve ao menos 200 milhões de
dólares de resgates.

5
WHITE PAPER | A situação do ransomware na América Latina em 2022

O EKANS
é uma variante de ransomware que apareceu pela primeira vez em meados de dezembro de 2019 [7]. A diferença
do EKANS é que ele foi escrito em Golang e tem o objetivo de parar os serviços e processos vinculados a sistemas
de controle industrial (ICS), já que pode eludir as proteções desses sistemas e provocar um grave dano operativo
na infraestrutura crítica.

O Lockbit
exigiu 50 milhões de dólares para não filtrar dados corporativos roubados.

6
WHITE PAPER | A situação do ransomware na América Latina em 2022

O Zeppelin Ransomware,
também conhecido como Buran, tem sua origem na família Vega/VegaLocker, um Ransomware as a Serviço (RaaS)
baseado em Delphi observado em fóruns de hackers de língua russa em 2019 [8].

As autoridades de cibersegurança dos Estados Unidos, da Austrália e do Reino Unido observaram, em 2021, as seguintes
ações e tendências dos cibercriminosos [5]:

Acesso às redes por meio de phishing, credenciais de protocolos (RDP) roubadas e exploração de vulnerabilidades: Os
e-mails de phishing, a exploração de RDP e a exploração de vulnerabilidades de softwares continuaram sendo os três
principais vetores de infecção inicial para incidentes de ransomware em 2021. Quando um ator de ameaças de ransomware
obtém a execução do código de um dispositivo ou acesso de rede, ele pode implementar o ransomware.

Crescimento de Ransomware-as-a-Service (RaaS)

Existe uma grande variedade de esquemas de trabalho no cibercrime. Por exemplo, há variantes de ransomware, como o
WannaCry, que contam com um tradutor de línguas e até com um chat de suporte, pois o objetivo do atacante é obter o
pagamento do resgate da informação. Quer dizer, existe toda uma organização por trás do código malicioso. Por outro lado,
existem modelos de aluguel de malware conhecidos como Ransomware-as-a-Service (RaaS), em que grupos maliciosos
“alugam” sua variante de ransomware, geralmente em sites da DarkWeb. Além disso, existem casos desse modelo de RaaS
em que o lucro é dividido, e o criador do ransomware fica com 30 a 40% dos ganhos por ser o autor do código malicioso.

O mercado de ransomware tornou-se mais “profissional” em 2021 [5], e o modelo comercial criminoso do ransomware ficou
agora bem estabelecido. Além do maior uso de Ransomware-as-a-Service (RaaS), os atores de ameaças de ransomware
utilizaram serviços independentes para negociar pagamentos, ajudar vítimas a realizarem pagamentos e arbitrar disputas
de pagamento entre eles e outros ciberdelinquentes. NCSC-UK observou que alguns atores de ameaças de ransomware
ofereceram para suas vítimas os serviços de um centro de ajuda 24/7 para acelerar o pagamento de resgate e a restauração
de sistemas ou dados criptografados.

7
WHITE PAPER | A situação do ransomware na América Latina em 2022

O Ransomware-as-a-Service (RaaS) é onde alguns ciberdelinquentes focam em obter e vender acesso inicial a redes
corporativas, e isso alimenta ainda mais o crime cibernético. Como exemplo, em julho de 2021, o FortiGuard Labs encontrou
um Ransomware-as-a-Service chamado BlackMatter, que inclui um pacote de ransomware, sites de pagamento e manuais
operativos para que seus membros e filiados possam infectar a vítima com as ferramentas fornecidas. Foi oferecido acesso
a redes corporativas nos Estados Unidos, no Canadá, na Austrália e no Reino Unido, potencialmente provenientes de
funcionários das próprias empresas, por valores que oscilavam entre 3.000 e 100.000 dólares. Cabe destacar que durante o
ano de 2021 foi detectada atividade do BlackMatter também na América Latina.

Como se prevenir do ransomware?

Uma das melhores formas de se prevenir do ransomware é realizando uma estratégia de defesa baseada em Inteligência.

Atualizar com frequência Obter um software de autenticação

Atualizar seus dispositivos pode ser uma forma eficiente
e gratuita de protegê-los. Muitas atualizações incluem
proteção antivírus contra novos tipos de ciberameaças.
Na medida em que o fabricante do dispositivo aprende a
combater diferentes tipos de ransomware, o código que
protege seu dispositivo fica incluído em uma atualização.
O software de autenticação garante que qualquer software
executado no seu dispositivo venha de uma fonte confiável,
e não de um ciberdelinquente. Alguns softwares que
podem ser instalados não têm nenhum tipo de autenticação
automática incluída, e isso pode fazer com que a verificação
seja um desafio.

Para proteger ainda mais seu computador contra um software não autorizado, uma ferramenta como o FortiToken pode
oferecer autenticação de dois fatores (2FA), utilizando um ambiente baseado na nuvem para verificar as conexões na sua
rede.

Instalar proteção antivírus

A proteção antivírus é uma das mais potentes e simples soluções na luta contra o ransomware. As medidas antivírus
evitam que o ransomware chegue primeiro a seus dispositivos ou rede, evitando a chantagem dos atacantes que ameaçam
interromper suas operações em troca de dinheiro.

Frequentemente, o ransomware vem em um e-mail aparentemente inocente, mas a segurança do e-mail pode combatê-lo
desde suas primeiras etapas. Os dados dentro dos arquivos anexos do e-mail podem ser analisados na procura de ameaças.
Com esse tipo de filtro, é possível bloquear e-mails do remetente infrator, bem como configurar regras para evitar que esse
tipo de mensagens chegue à sua caixa de entrada.

Além disso, um firewall de próxima geração (NGFW) pode fornecer uma camada adicional de proteção. Os NGFW oferecem
filtragem de pacotes, suporte de rede privada virtual (VPN) e funções de mapeamento de IP. Também supervisionam sua
rede e ficam atentos a ameaças. Os fornecedores de NGFW realizam, continuamente, pesquisas sobre o panorama da
segurança, para conhecer as novas ameaças assim que elas vão surgindo, e utilizam esses dados em forma de atualizações
automáticas para bloquear ataques a seus dispositivos.

Fazer uma cópia de segurança de seus dados Educar os funcionários

Ainda que não consigam prevenir ataques, as cópias Seus funcionários, quando têm os conhecimentos
de segurança são parte essencial de uma abordagem adequados, podem contribuir muito para prevenir os
proativa. Fazer uma cópia de segurança de seus dados de ataques de ransomware. Explique a eles como são os
forma regular pode fornecer uma imagem de referência de ataques e como evitar expor seus dispositivos.
cada dispositivo na sua rede. No caso de um ataque de
ransomware, é possível desligar o sistema e usar a cópia de
segurança para voltar a funcionar.

8
WHITE PAPER | A situação do ransomware na América Latina em 2022

Utilizar uma solução de segurança integral

A melhor defesa contra o ransomware é uma solução integral desenhada para proteger vários dispositivos dos ataques. Isso
pode incluir a filtragem web, que estabelece uma barreira entre sua rede e sites maliciosos, links, malware ou outro conteúdo
de risco. Uma solução completa também pode utilizar sandboxing, que consiste em colocar as ações de uma aplicação em
um ambiente isolado. Dentro da zona de teste, é analisado o comportamento da aplicação e os dados reunidos podem revelar
erros, ineficiências, ransomware e outros códigos suspeitos. Como a aplicação está na zona de teste, os outros elementos do
dispositivo ou da rede ficam protegidos.

De que forma a Fortinet pode ajudar?

Com o Fortinet Security Fabric, é possível bloquear os
ataques de ransomware, protegendo todos seus endpoints,
enquanto protege os pontos de entrada de toda sua
rede. Como o Security Fabric conta com a tecnologia do
FortiGuard Labs, ele possui uma inteligência de segurança
mais atualizada, e isso garante estar mais bem preparado
para interromper ameaças novas e emergentes.
Para obter mais informações, explore a lista completa de
soluções contra ransomware.
O FortiGuard Outbreak Alerts [10] é o mecanismo para
comunicar informações importantes a clientes e sócios.
Quando acontecer um incidente/ataque/evento de segurança
cibernética com grandes ramificações na indústria da
segurança cibernética e atingir muitas organizações, esta
página será atualizada com um link para o FortiGuard
Outbreak Alerts individual.
Esses alertas incluirão:

• Uma explicação do ataque, sua linha do tempo e qual tecnologia específica foi afetada.
• Onde podem ser encontrados patchs aplicáveis e/ou recomendações de mitigação.
• Quais produtos da Fortinet, se forem implantados, quebrariam a sequência de ataque.
• Em que versões específicas devem estar esses produtos da Fortinet para fornecer proteção.
• Ferramentas de Threat Hunting da Fortinet para ajudar você a determinar se foi afetado.
• Pesquisa vinculada do FortiGuard Labs.

Além disso, o FortiGuard Outbreak Alerts agora está disponível

por meio do licenciamento Enterprise Protection para proteger
as redes dos clientes contra ataques de malware. O pacote
de conteúdo do FortiGuard Outbreak Alerts [11] consiste em
um relatório do FortiGuard para o ataque, um controlador de
eventos e um formulário de relatório para detectar o ataque
que pode ser baixado automaticamente no seu FortiAnalyzer.

9
WHITE PAPER | A situação do ransomware na América Latina em 2022

Trabalhos citados
1
FortiGuard Labs, «Global Threat Landscape Report,» 2021. [On-line]. Available: https://www.fortinet.com/content/dam/fortinet/assets/threat-
reports/report-threat-landscape-2021.pdf.
2
The 2021 Ransomware Survey Report, «The 2021 Ransomware Survey Report,» [On-line]. Available: https://www.fortinet.com/content/dam/fortinet/
assets/reports/report-ransomware-survery.pdf.
3
IDC, «IDC’s 2021 Ransomware Study,» [On-line]. Available: https://www.idc.com/getdoc.jsp?containerId=US48093721.
4
Fortinet, «Fortinet consolida su posición como la empresa líder de ciberseguridad en América Latina,» 2020. [On-line]. Available: https://www.
fortinet.com/lat/corporate/about-us/newsroom/press-releases/2020/fortinet-como-empresa-lider-de-ciberseguridad-latin-america.
5
Analyst1, «A History of REvil,» 2022.
6
MITRE, «Ryuk,» [On-line]. Available: https://attack.mitre.org/software/S0446/.
7
MITRE, «EKANS,» [On-line]. Available: https://attack.mitre.org/software/S0605/.
8
Ionut Ilascu, «Zeppelin ransomware comes back to life with updated versions,» Bleeping Computer, [On-line]. Available: https://www.
bleepingcomputer.com/news/security/zeppelin-ransomware-comes-back-to-life-with-updated-versions/.
9
«2021 Trends Show Increased Globalized Threat of Ransomware,» 2022. [On-line]. Available: https://www.cisa.gov/uscert/ncas/alerts/aa22-040a.

www.fortinet.com

Copyright © 2021 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product
or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other
conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser
that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any
such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise
revise this publication without notice, and the most current version of the publication shall be applicable. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise
revise this publication without notice, and the most current version of the publication shall be applicable.

May 20, 2022 7:01 PM

Macintosh SSD:Users:GIANN-DISEÑO:2022:MAYO:White Paper El estado del Ransomware Nueva Versión:POR_The State of Ransomware in LATAM Q1-2022:POR_The State of Ransomware in LATAM Q1-2022

123456-0-0-EN