Os ataques de ransomware são indiscutivelmente os mais maliciosos de todos os ataques cibernéticos, seja a vítima uma organização ou um indivíduo. Hoje aprenderemos sobre algumas das cepas de ransomware vistas recentemente e examinaremos como eles são diferentes em sua abordagem e como afetam suas vítimas. As cepas que abordaremos são: Jigsaw; VirLocker; Conti; Ônix e Black Cat.
Essas cinco cepas causaram danos graves às vítimas e são diferentes na maneira como atacam, mas, no final das contas, todas exigem um resgate. Portanto, os profissionais de segurança cibernética devem estar cientes dessas variedades de ransomware e dominar maneiras de se defender.
As cinco novas cepas perigosas de Ransomware
Jigsaw
O nome JigSaw é inspirado no popular filme de terror “Jogos Mortais” – esse ransomware até usa a imagem do fantoche do filme no aviso de extorsão ameaçador que envia às vítimas. A variedade JigSaw apareceu pela primeira vez em 2016; desde então, várias variantes da cepa evoluíram. Seu objetivo básico é o mesmo de qualquer outro ransomware, ou seja, criptografar os dados da vítima e exigir um resgate. Geralmente, a maioria dos ransomwares apenas ameaça excluir dados ou bloquear o acesso se o resgate não for pago; JigSaw foi o primeiro de seu tipo a realmente excluir os dados quando o resgate não foi pago dentro do prazo estipulado. A variedade usa o algoritmo de criptografia AES para criptografar arquivos e usa extensões de arquivo como .fun, .game, .btc, .YOLO e .data para renomeá-los. Uma vez infectado, um aviso de ameaça será exibido na tela da vítima, juntamente com um cronômetro de contagem regressiva. Começa-se então a deletar arquivos no tempo estipulado se o resgate não for pago, e a velocidade de exclusão de arquivos aumenta exponencialmente se o pagamento for atrasado. Existem ferramentas de descriptografia disponíveis para lidar com essa cepa, mas é fundamental agir rápido à medida que os dados são apagados com base no tempo. Normalmente, o resgate é exigido na forma de Bitcoin.
VirLocker
A cepa de ransomware VirLocker, também conhecida como VirLock ou Vir Ransom, foi identificada pela primeira vez em 2014. No entanto, ela começou a tornar-se proeminente em 2016, quando os pesquisadores descobriram que as variantes dessa cepa eram capazes de se espalhar por meio de armazenamento em nuvem e aplicativos de colaboração. A cepa não apenas ataca o sistema e criptografa todos os arquivos, mas também converte os arquivos em arquivo polimórfico infect-or. O infect-or é semelhante a um vírus e infecta os outros arquivos não infectados. VirLockers é o primeiro ransomware polimórfico auto-replicante do mundo. Essa cepa geralmente infecta alguns dos tipos de arquivo mais comuns, como doc, pdf, ppt, jpg, png, mp3 e zip. Ao contrário da maioria dos ataques regulares de ransomware, nos quais o resgate é exigido diretamente, o VirLocker se disfarça como um aviso antipirataria dos órgãos reguladores e afirma que algum software pirata foi detectado no computador da vítima. Em seguida, ameaça-os com consequências legais se não pagarem o resgate. Vários limpadores autônomos e ferramentas de remoção estão disponíveis para essa variedade de ransomware. Embora o número total de vítimas desse ransomware possa ser menor em comparação com outras cepas, a natureza parasitária ainda o torna perigoso.
Conti
A cepa de ransomware Conti foi identificada pela primeira vez no início de 2020 e acredita-se que seja operada por um grupo russo que visava grandes corporações e indivíduos influentes. Os ataques se concentraram principalmente nos EUA. Os vetores de ferramentas de ataque comuns incluem e-mails de phishing ou spam, credenciais fracas do Remote Desktop Protocol (RDP) e vulnerabilidades de software e hardware. Essa variante opera como um modelo de ransomware como serviço (RaaS), o que a torna mais perigosa, pois a velocidade do ataque e a criptografia subsequente são altas. As invasões de Conti são principalmente operadas por humanos (em oposição à propagação automática) e seguiriam a estratégia de dupla extorsão, na qual invasores altamente qualificados levam tempo para descobrir dados confidenciais e não apenas roubá-los e criptografá-los, mas também ameaçam as vítimas de que seus dados serão publicado se o resgate não for pago. Um grupo conhecido como Wizard Spider de São Petersburgo, na Rússia, está por trás de Conti. Existem cerca de 180 vítimas publicamente conhecidas deste ransomware. Ainda não há ferramentas ou software de descriptografia disponíveis para detecção. Algumas das empresas afetadas são a JVCKenwood, o Serviço de Saúde da Irlanda e o Grupo Volkswagen.
Onyx
Pesquisadores de segurança do Malware Hunter relataram que o Onyx é uma nova variante do ransomware Chaos, sendo visto pela primeira vez em abril de 2022. A cepa Onyx opera em uma estratégia de dupla extorsão, em que os invasores não apenas roubam dados, mas também ameaçam publicar os dados se o ransomware exigido não for pago. Esse ransomware levou a ameaça e a destruição ao nível superior, substituindo os dados das vítimas em arquivos com dados indesejados, em vez de criptografá-los. Com isso, entende-se que os dados das vítimas são essencialmente destruídos e não podem ser descriptografados e recuperados. Inicialmente, acreditava-se que a tensão atacava arquivos com tamanho de 200 MB e superior. Contudo, na realidade, a cepa ataca arquivos com tamanho superior a 2 MB, causando a infecção de volumes maiores de arquivos.
Black Cat
A cepa Black Cat Ransomware, também conhecida como ALPHV ransomware, é um sofisticado ransomware como serviço de RaaS que atacou mais de 60 organizações de novembro de 2021 a abril de 2022. Essa cepa foi desenvolvida usando Rust Programming, que é mais fácil para os invasores executarem. Os criadores do Black Cat fornecem acesso ao seu código malicioso aos franqueados; e em troca a organização-mãe recebe uma porcentagem do resgate. O trabalho do franqueado é de alguma forma estabelecer uma conexão com o ambiente corporativo de TI, comprometer os usuários do Active Directory e contornar os sistemas de segurança. As ferramentas usadas para este ataque são os utilitários Cyrtor e Fendr. Uma grande organização sul-americana da indústria de petróleo e gás foi vítima dessa tensão em 2022. Os Black Cat Attackers geralmente exigem resgate em Bitcoin ou Monero.
Conclusão
Essas cinco variedades de ransomware são diferentes em seu modus operandi, ainda que todos eles tentem principalmente roubar e criptografar dados e exijam um resgate. Também devemos reconhecer que o novo modelo de negócios, RaaS, facilitou para os invasores, fornecendo a infraestrutura e os serviços. Qualquer organização com um ambiente de TI deve investir em ferramentas de segurança cibernética de forma proativa e proteger redes e operações, pois “é melhor prevenir do que remediar” a qualquer momento. Porém, caso um ataque aconteça, eles também devem ter a capacidade de rastreá-lo rapidamente, investigar a causa raiz e tomar medidas corretivas, como investir em soluções SIEM. Nossa solução SIEM, ManageEngine Log360, ajuda a prevenir ataques alertando se quaisquer eventos ou atividades incomuns forem diagnosticados e iniciando processos de correção automática. Para avaliar completamente como o Log360 pode ajudar sua organização a se defender contra ataques cibernéticos, inscreva-se para uma demonstração personalizada.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vamsi Krishna Sanapala.