book_icon

Grupos de ransomware focados em ataques contra empresas são descobertos

Pesquisadores da Kaspersky Lab revelaram que grupos anteriormente participaram de ataques dirigidos principalmente a usuários privados
Grupos de ransomware focados em ataques contra empresas são descobertos

Pesquisadores da Kaspersky Lab descobriram uma tendência emergente e alarmante: cada vez mais criminosos cibernéticos estão migrando seu foco de ataques contra usuários privados para ataques de ransomware contra empresas. Foram identificados pelo menos oito grupos de cibercriminosos envolvidos no desenvolvimento e distribuição de ransomware de criptografia. Os ataques atingiram principalmente organizações financeiras em todo o mundo. Os especialistas da Kaspersky Lab encontraram casos em que as demandas de pagamento somaram mais de meio milhão de dólares.

Em geral, os cybercriminosos infectam a organização alvo com malware através de servidores vulneráveis ou spear phishing de e-mails

Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras em todo o mundo; o infame grupo Mamba e seis grupos não identificados que também visam redes corporativas. É interessante notar que estes seis grupos foram anteriormente envolvidos em ataques dirigidos principalmente aos usuários privados e utilizando modelos de programas de afiliados.

Agora, eles têm reorientado seus esforços em redes corporativas. De acordo com os pesquisadores da Kaspersky Lab, a razão para esta tendência é clara – os criminosos consideram ataques de ransomware dirigidos contra empresas potencialmente mais rentáveis do que ataques de massa contra usuários privados. Um ataque ransomware bem-sucedido contra uma empresa pode facilmente parar seus processos de negócios por horas ou mesmo dias, tornando os proprietários das empresas afetadas mais propensos a pagar o resgate.

Em geral, as táticas, técnicas e procedimentos utilizados por esses grupos são muito semelhantes. Eles infectam a organização alvo com malware através de servidores vulneráveis ou spear phishing de e-mails. Em seguida, eles estabelecem a persistência na rede da vítima e identificam os recursos corporativos valiosos para criptografar, exigindo posteriormente um resgate em troca de descriptografia. Além de suas semelhanças, alguns grupos têm suas próprias características únicas.

Por exemplo, o grupo Mamba usa seu próprio malware de criptografia, baseado no software de código aberto DiskCryptor. Uma vez que os atacantes ganham um ponto de apoio na rede, eles instalam o cifrador através dele, usando um utilitário legal para o controle remoto do Windows. Essa abordagem torna as ações menos suspeitas para os agentes de segurança da organização alvo. Pesquisadores da Kaspersky Lab encontraram casos em que o resgate ascendeu a um bitcoin (cerca de R$ 3.550 até o final de março de 2017) pela decifragem de um end-point.

Outro exemplo exclusivo de ferramentas usadas em ataques de ransomware dirigidos vem do PetrWrap. Este grupo destina-se principalmente a grandes empresas que possuem um grande número de nós de rede. Os criminosos cuidadosamente selecionam alvos para cada ataque, que pode durar algum tempo: PetrWrap tem sido persistente em uma rede de até 6 meses.

“Devemos todos estar cientes de que a ameaça de ataques de ransomware dirigido sobre as empresas está aumentando, trazendo perdas financeiras tangíveis. A tendência é alarmante já que os atores do ransomware começaram sua cruzada para vítimas novas e mais rentáveis. Há muitos mais potenciais alvos de ransomware ativos, com ataques resultando em consequências ainda mais desastrosas”, disse Anton Ivanov, Pesquisador de Segurança Sênior, Anti-Ransom, Kaspersky Lab.

Kaspersky

malware

Ransomware

segurança

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.