A forte escalada global de ataques de ransomware
As gangues de ransomware continuam a visar empresas de todos os portes, no mundo todo, e agora também órgãos de aplicação da lei, como o ataque ao Departamento de Polícia do Distrito de Columbia (EUA), onde fica a capital do país, Washington D.C., nos EUA. Na última semana do mês de abril (2021) houve uma forte escalada global dessa modalidade de ataque, que afetaram, além da Polícia Metropolitana de Washington, a companhia ferroviária Merseyrail no Reino Unido, o município de Whistler no Canadá e o Tribunal de Justiça do Rio Grande do Sul no Brasil.
O ransomware Qlocker, que tem como alvo dispositivos de armazenamento em rede QNAP, já havia faturado US$ 260 mil com o pagamento de resgates antes de entrar em plena atividade na última semana de abril, o que provavelmente fará com que esses números aumentem.
A boa notícia é que, depois de ameaçar vazar os dados do Departamento de Polícia Metropolitana, o grupo que opera o Babuk Locker felizmente decidiu não criptografar mais sistemas e se concentrar em obter o resgate de dados já roubados.
O site Bleeping Computer elaborou um cronograma de ataques de ransomware ocorridos na última semana de abril a partir de informações fornecidas por vários outros sites especializados em cibersegurança e por meio da colaboração de pesquisadores de segurança. Confira, a seguir, a cronologia dos ataques:
# 24 de abril — O grupo hacker Made, que opera o ransomware Qlocker, faturou US$ 260 mil criptografando remotamente arquivos em dispositivos de storage QNAP usando o utilitário de arquivamento 7zip em um intervalo de cinco dias. O Qlocker explorou vulnerabilidades em computadores de usuários do QNAP NAS em todo o mundo, que somente descobriram que seus arquivos haviam sido criptografados no dia 24 de abril.
- Além disso, uma nova variante do ransomware Dharma foi descoberta pelo pesquisador de ameaças Jakub Kroustek. Segundo ele, a nova cepa anexa a extensão .bdev a arquivos criptografados.
# 25 de abril — O GrujaRS encontrou uma variante do ransomware Stupid autodenominada NoCry que acrescenta a extensão .Cry a arquivos criptografados. Ele também descobriu uma nova cepa do ransomware Conti que anexa a extensão .GFYPK.
# 26 de abril — O grupo cibercriminoso Babuk Locker atacou os servidores do Departamento de Polícia do Distrito de Columbia (EUA), onde fica a capital do país, Washington D.C., e ameaça divulgar os dados de investigações criminais e de informantes da polícia em caso de não pagamento do resgate. A gangue agora está ameaçando vazar novos logotipos da Apple e planos para o iPad.
- Na mesma data, o grupo que opera o ransomware REvil removeu misteriosamente os esquemas da Apple de seu site de vazamento de dados, após avisar a Quanta Computer, fabricante taiwanesa que produz para a Apple, vazaria desenhos do novo iPad e novos logotipos da Apple.
- No dia 26, foi noticiado que as violações de dados causadas pela gangue de ransomware Clop, que explora uma vulnerabilidade de dia zero, tiveram aumento acentuado no valor médio dos resgates nos primeiros três meses do ano.
- Mas as atividades criminosas não pararam por aí. O dnwls0719 encontrou uma nova variante de ransomware Dharma que anexa a extensão .ALNBR a arquivos criptografados. Os vetores de ataque do ransomware mudam à medida que novas explorações de vulnerabilidade de software são descobertas.
- O relatório trimestral sobre ransomware Coveware descreve as tendências de resposta a incidentes de ransomware durante o primeiro trimestre. Segundo o estudo, o valor médio dos pedidos de pagamento de resgate em extorsões digitais disparou no período para US$ 220.298, um aumento de 43% em relação ao trimestre anterior. O valor médio dos pagamentos, no entanto, foi de US$ 78.398 no período, um salto de 58% em relação aos US$ 49.450 registrados entre janeiro e março do ano passado.
- Já o PCrisk, fórum criado para ajudar na remoção de spyware e vírus, encontrou uma nova variante do ransomware Phobos que anexa a extensão .lookfornewitguy.
# 27 de abril — O grupo REvil, que opera o ransomware Sodinokibi, está muito ativo atualmente. E parece determinado a continuar com mais violações, embora seus ataques pareçam cada vez menos bem-sucedidos.
- Nessa data, a EMSI Soft publicou estudo que aponta que a demanda média de resgate cresceu mais de 80% no ano passado. Globalmente, ao menos US$ 18 bilhões foram pagos em resgates em 2020, sem contar que o custo por tempo de inatividade nos setores público e privado acrescentou bilhões a mais nesses custos.
- Ainda no dia 27, os servidores SharePoint da Microsoft se juntaram à lista de dispositivos de rede que estão sendo explorados como portas de entrada de gangues de ransomware em redes corporativas.
# 28 de abril — A rede ferroviária Merseyrail do Reino Unido confirmou um ataque cibernético depois que a gangue que opera o ransomware Lockbit usou o sistema de e-mail da empresa para enviar mensagens aos funcionários e jornalistas informando sobre o ataque.
- Nesse dia, o dnwls0719 encontrou uma nova variante de ransomware Dharma que anexa a extensão .cum a arquivos criptografados.
# 29 de abril — A Ransomware Task Force, coalizão que reúne mais de 50 especialistas em segurança cibernética, compartilhou uma estrutura de ações para interromper o modelo de negócios de ransomware.
- O município de Whistler na Colúmbia Britânica, Canadá, sofreu um ataque cibernético de uma nova operação de ransomware ainda não identificada.
- O Tribunal de Justiça do Rio Grande do Sul foi atingido nesse dia por um ataque do grupo REvil que criptografou arquivos de funcionários e forçou o tribunal a fechar sua rede. Os cibercriminosos pediram o equivalente a US$ 5 milhões em criptomoedas para fornecer as chaves que podem decodificar o conteúdo criptografado em servidores e estações de trabalho.
- Um grupo de hackers passou a explorar uma falha de dia zero nos dispositivos SonicWall VPN, da série SMA 100, para implantar uma nova cepa de ransomware denominada FiveHands.
- Os usuários de dispositivos de armazenamento QNAP foram mais uma vez alertados a proteger seus dispositivos Network Attached Storage (NAS) para se defender contra ataques do ransomware Qlocker.
- Depois de apenas alguns meses de atividade, os operadores do ransomware Babuk postaram uma mensagem curta sobre a intenção de encerrar o negócio de extorsão após terem alcançado seu objetivo.
- A equipe de pesquisadores de segurança da MalwareHunter encontrou um novo ransomware denominado CryBaby.
# 30 de abril — Uma nova mensagem hoje dos operadores do ransomware Babuk esclarece que a gangue decidiu fechar o programa de afiliados e passar para um modelo de extorsão que não depende da criptografia dos computadores das vítimas.
Adaptado de: Semana é marcada por forte escalada global de ataques de ransomware (cisoadvisor.com.br)