Ser vítima de um ataque de ransomware já é ruim o bastante, imagine três. Foi o que aconteceu recentemente com uma empresa cuja identidade não foi divulgada, que foi atacada triplamente por algumas das gangues de sequestro digital mais perigosas do mundo; os arquivos foram criptografados triplamente, assim como os pedidos de resgate, que também vieram em trio.
- Brasil é o terceiro país mais atingido pelo ransomware LockBit
- Como as ameaças digitais evoluíram nos últimos 10 anos?
O caso inusitado aparece em um novo relatório publicado pela empresa de segurança Sophos. De acordo com o relatório, a rede da companhia recebeu golpes das quadrilhas Hive, LockBit e BlackCat; os dois primeiros aconteceram quase que simultaneamente, em um período de duas horas, enquanto o terceiro veio duas semanas depois. Todos foram bem-sucedidos e complicaram ainda mais um processo de recuperação que já é complexo o bastante.
Ainda que não seja possível falar em cooperação entre os bandos, a ocorrência é considerada inédita. Existem, sim, casos de ciberataques simultâneos nos últimos anos, com direito a contaminações por mineradores de criptomoedas, trojans de acesso remoto e até golpes de negação de serviço; estes, entretanto, aconteceram ao longo de meses ou de um ano inteiro, com a ideia de uma ofensiva simultânea se tornando um novo foco de atenção para os especialistas em segurança digital.
–
Feedly: assine nosso feed RSS e não perca nenhum conteúdo do Canaltech em seu agregador de notícias favorito.
–
“É possível que isso se deva ao fato de os invasores reconhecerem que há um número finito de ‘recursos’ em um mercado cada vez mais competitivo ou talvez acreditem que quanto mais pressão é colocada em um alvo, é mais provável que as vítimas paguem”, explica John Shier, consultor-sênior de segurança da Sophos. Ele relata, entretanto, que não é possível descartar uma cooperação ou até mesmo um intercâmbio de membros, já que as quadrilhas não costumam se colocar como rivais umas das outras.
“Talvez [os criminosos] estejam discutindo em alto nível, firmando acordos mutuamente benéficos”, afirma, citando um exemplo em que uma quadrilha pode ser responsável por roubar dados, enquanto outra realiza a contaminação por ransomware. “Em algum momento, essas gangues terão que decidir como se sentem em relação à cooperação, se devem adotá-la ainda mais ou se tornar mais competitivas, mas, por enquanto, o campo está aberto”, completa Shier, pintando um panorama perigoso.
Um indício de que os bandos podem estar trabalhando juntos pode ser o fato de que a BlackCat, a última a comprometer o sistema, apagou os rastros não apenas de seu próprio ataque, mas também daqueles realizados pelas outras duas quadrilhas. O vetor de entrada, entretanto, não foi divulgado e, por conta disso, não é possível saber se a abertura foi compartilhada entre os bandidos.
Casos assim, entretanto, existem na história recente. A Sophos cita o exemplo de uma organização atingida pelo ransomware LockBit, que foi vitimada novamente três meses depois, quando a quadrilha Karakurt aproveitou a porta de entrada deixada pelo grupo anterior para roubar dados e extorquir a empresa para não os divulgar; neste caso, entretanto, não houve travamento de informações.
Como se proteger de ameaças combinadas
Ainda que o vetor dos ataques citados não seja público, a Sophos aponta que vulnerabilidades não corrigidas seguem como o principal ponto de entrada para quadrilhas de ransomware e roubo de dados. A persistência de vulnerabilidades como Log4Shell e ProxyLogon, por exemplo, levantam a importância das atualizações e adequações de sistemas, juntamente com as configurações malfeitas que levam a golpes contra desktops remotos e sistemas de cloud computing.
A Sophos indica que, em todos os casos citados, as vítimas não foram capazes de resolver as aberturas que levaram ao primeiro ataque, o que acabou permitindo as explorações adicionais. “Embora o aumento de múltiplos invasores ainda seja baseado em evidências anedóticas, a disponibilidade de sistemas exploráveis oferece aos cibercriminosos uma ampla oportunidade de seguir nessa direção”, completa o especialista.
Trending no Canaltech:
- 5 motivos para NÃO comprar o Jeep Commander 2022
- Primeiro teletransporte holográfico internacional é realizado entre EUA e Canadá
- Startups participam de maior competição do Brasil e podem ir para fora do país
- Qual é a distância da Terra à Lua?
- É preciso monitorar a varíola dos macacos em animais, diz Ministério da Ciência
Fonte: Canaltech