Roubo de dados com posterior extorsão cresceu 25%, diz relatório da Cisco Talos

A Cisco Talos Incident Response (Talos IR) divulgou os resultados de seu relatório Tendências de Resposta a Incidentes no segundo trimestre de 2023. A empresa respondeu a um número crescente de incidentes de extorsão por roubo de dados que não envolviam a criptografia de arquivos ou a implementação de ransomware, um aumento de 25% desde o último trimestre e a ameaça mais observada no segundo trimestre de 2023.

Nesse tipo de ataque, os agentes de ameaças roubam os dados da vítima e ameaçam vazá-los ou vendê-los, a menos que a vítima pague várias quantias de dinheiro, eliminando a necessidade de implementar ransomware ou criptografar dados. Isso difere do método de ransomware de dupla extorsão, pelo qual os adversários exfiltram e criptografam arquivos e exigem pagamento para que as vítimas recebam uma chave de descriptografia.

O ransomware foi a segunda ameaça mais observada neste trimestre, respondendo por 17% dos engajamentos, um ligeiro aumento em relação aos 10% do trimestre anterior. Este trimestre apresentou as famílias de ransomware LockBit e Royal, que a Talos IR observou nos trimestres anteriores. A Talos IR também observou várias famílias de ransomware pela primeira vez, incluindo 8Base e MoneyMessage.

Credenciais comprometidas ou contas válidas foram os principais meios observados de obtenção de acesso inicial neste trimestre, respondendo por quase 40% do total de engajamentos. Foi um desafio identificar como as credenciais foram comprometidas, considerando que foram obtidas de dispositivos fora da visibilidade da empresa, como credenciais salvas no dispositivo pessoal de um funcionário.

Continuando a tendência do último trimestre, a área de saúde foi a vertical mais visada neste trimestre, respondendo por 22% do número total de engajamentos de resposta a incidentes, seguida de perto pelos serviços financeiros.

Extorsão em alta

A extorsão por roubo de dados foi a principal ameaça observada neste trimestre, respondendo por 30% das ameaças às quais o Talos IR respondeu, um aumento de 25% nos incidentes de extorsão por roubo de dados em comparação com o último trimestre. O aumento nos incidentes de extorsão por roubo de dados em comparação com os trimestres anteriores é consistente com os relatórios públicos sobre um número crescente de grupos de ransomware que roubam dados e extorquem vítimas sem criptografar arquivos e implantar ransomware.

A extorsão por roubo de dados não é um fenômeno novo, mas o número de incidentes neste trimestre sugere que os agentes de ameaças motivados financeiramente estão cada vez mais vendo isso como um meio viável de receber um pagamento final. A realização de ataques de ransomware provavelmente está se tornando mais desafiadora devido à aplicação da lei global e aos esforços de interrupção do setor, bem como à implementação de defesas, como recursos aprimorados de detecção comportamental e soluções de detecção e resposta de endpoint (EDR).

Este trimestre apresentou atividade dos grupos de extorsão RansomHouse e Karakurt pela primeira vez em envolvimentos de RI do Talos. Ativo desde 2021, o Karakurt normalmente obtém acesso a ambientes por meio de contas válidas, phishing ou exploração de vulnerabilidades. Em um envolvimento de extorsão de roubo de dados observado em Karakurt, os invasores sequestraram uma conta de protocolo de área de trabalho remota (RDP), enumeraram confianças de domínio usando a ferramenta de linha de comando de administração de rede nltest, executaram scripts do PowerShell para recuperar senhas e modificaram políticas de domínio.

Ransomware

O ransomware foi responsável por 17% do número total de engajamentos respondidos no segundo trimestre de 2023 (abril a junho), um ligeiro aumento em comparação com os 10% do último trimestre. As operações de ransomware 8Base e MoneyMessage foram observadas pela primeira vez neste trimestre, além das operações de ransomware vistas anteriormente LockBit e Royal.

Descoberto pela primeira vez em março de 2022, o 8Base é um grupo/operação de ransomware que usa uma versão personalizada do ransomware Phobos e rouba dados antes da criptografia. Embora o grupo exista há mais de um ano, ele começou a ganhar popularidade crescente em junho de 2023, após um aumento significativo na atividade.

Em um envolvimento do ransomware 8Base, o aplicativo de desktop remoto legítimo AnyDesk foi instalado no diretório Performance Logs (Perflogs), potencialmente como uma forma de evitar a detecção. A pasta Perflogs é uma pasta gerada pelo sistema que armazena informações sobre o desempenho do dispositivo. Os invasores também foram observados despejando credenciais da memória LSASS (Local Security Authority Subsystem Service), criando novos processos com um token de usuário existente para ignorar os controles de acesso, escalando privilégios usando o comando runas e usando o shell de comando do Windows para executar scripts do PowerShell.

MoneyMessage é uma operação relativamente nova de ransomware que foi descoberta pela primeira vez em março de 2023. Semelhante ao 8Base, o grupo de ransomware MoneyMessage opera sob o modelo de dupla extorsão. MoneyMessage é uma família de ransomware escrita na linguagem de programação C++ e usa a troca de chaves Elliptic Curve Diffie-Hellman (ECDH) e o algoritmo de cifra de fluxo ChaCha para criptografia, ambos comumente usados ​​por famílias de ransomware.

O Talos IR respondeu a um ataque de ransomware MoneyMessage em que o criptografador MoneyMessage foi descartado no diretório Netlogon, permitindo a implementação do ransomware em vários hosts. Antes de executar o ransomware, os invasores também desinstalaram várias ferramentas de segurança, como soluções EDR, por meio de scripts do PowerShell para prejudicar as defesas.

Serviço
www.talosintelligence.com