Yahoo FinançasGolpe de ransomware leva menos de quatro horas para travar uma rede
Os ataques de ransomware altamente rĂĄpidos parecem estar se tornando uma preferĂȘncia entre quadrilhas de criminosos, com um novo golpe levando menos de quatro horas para travar arquivos e pedir resgate para as vĂtimas. Trata-se de uma combinação entre uma praga de sequestro de arquivos e um trojan bancĂĄrio, que contamina os dispositivos a partir do bom e velho e-mail de phishing, que permanece como um vetor importante de infecção.
A anĂĄlise Ă© dos especialistas do The DFIR Report, que analisaram um golpe que levou apenas 3h44 entre a intrusĂŁo inicial e o travamento dos arquivos. Foi tempo suficiente para os criminosos realizarem uma anĂĄlise da rede, se moverem lateralmente para mĂĄquinas infectadas disponĂveis e soltar o ransomware Quantum, que travou os dispositivos e exibiu uma nota pedindo contato e valores em criptomoedas.
O vetor de entrada foi o malware IcedID, normalmente usado em ataques contra clientes de bancos internacionais. Ele, porém, tem uma estrutura modular, podendo servir também como carregador de outras pragas; a contaminação veio a partir de um e-mail de phishing corporativo, com um arquivo em formato ISO que escapou da detecção de softwares de segurança e, ao ser aberto, acabou abrindo as portas da måquina para a intrusão pelo Quantum.
Os detalhes técnicos não incluem a categoria da empresa atingida, mas mostram planejamento, com um golpe que aconteceu durante a madrugada, quando hå menos funcionårios de plantão e poucas mãos para realizarem um monitoramento da rede e mitigação de golpes em andamento. Os especialistas revelaram, em alerta, a linha do tempo do golpe, que começa com a instalação de beacons Cobalt Strike para recebimento de comandos e também açÔes para evadir sistemas automatizados de proteção.
Credenciais do Windows foram o primeiro foco, permitindo o acesso a mĂĄquinas virtuais desprotegidas com mĂșltipla autenticação, enquanto uma varredura foi feita na rede em busca de novos alvos para movimentação lateral. Depois, vieram tentativas de conexĂŁo com servidores atĂ© que, com a infraestrutura mapeada, o ransomware Quantum foi copiado para cada uma das mĂĄquinas comprometidas, travando os arquivos e exibindo a nota de resgate.
Quantum ransomware tem ação råpida e usa pragas conhecidas
No caso analisado pelo The DFIR Report, nĂŁo houve interesse em extração de dados, com a extorsĂŁo acontecendo, apenas, pelo travamento dos arquivos. As vĂtimas recebiam um link para um site seguro na rede Tor, com identificação Ășnica, onde poderiam contatar os criminosos e negociar os valores em criptomoedas para liberação dos dados â um prazo de 48 horas Ă© dado para o contato inicial, caso contrĂĄrio, a intrusĂŁo seria divulgada Ă imprensa e outros criminosos. AlĂ©m disso, os bandidos prometem demonstrar, tambĂ©m, como a intrusĂŁo aconteceu, indicando pontos fracos e demais vias de acesso nĂŁo autorizado.
Por outro lado, apuração do site Bleeping Computer aponta que esquemas de dupla extorsĂŁo jĂĄ foram detectados por quadrilhas usando o Quantum, com valores que podem variar de US$ 150 mil atĂ© US$ 500 mil, de acordo com o nĂvel de intrusĂŁo, das informaçÔes obtidas e o carĂĄter da empresa comprometida. Por outro lado, as informaçÔes disponĂveis apontam para golpes nĂŁo tĂŁo frequentes, com poucos casos registrados por mĂȘs â ainda um perigo, claro, mas nĂŁo tĂŁo grande quanto bandos mais ativos como LockBit e Conti, por exemplo.
Isso, também, tem a ver com o fato de estarmos falando de uma operação relativamente nova. Enquanto os ataques com a praga foram registrados a partir de agosto do ano passado, o Quantum é uma variação do ransomware MountLocker, que estå ativo desde setembro de 2020 e jå atendeu por nomes como AstroLocker e XingLocker. Enquanto isso, o malware bancårio IcedID vem sendo encontrado em ataques hå pelo menos cinco anos, ainda que o método de disseminação, usando arquivos ISO, seja recente.
Fonte: Canaltech
Trending no Canaltech:
