O Ministério de Transportes e Obras Públics do Uruguai sofreu um ataque de ransomware no dia 7 de Novembro que o deixou sem sistemas. Eles estão sendo restaurados aos poucos. E embora o órgão tenha anunciado normalidade no dia 9 deste mês por meio de um comunicado, fontes da rádio Montevideo 24 disseram que “todo o trabalho da organização relacionado com a utilização da Internet está parado e até ao momento não há informação oficial que explique o que aconteceu.
Hoje, o grupo Play publicou em seu site de vazamentos o nome do Ministério como uma de suas vítimas e vazou 5 GB de dados atribuídos ao órgão, de um total de 80 em seu poder. No comunicado dia 9 o Ministério afirmava: “Informamos que os nossos escritórios retomaram o seu funcionamento normal. A indisponibilidade dos serviços foi provocada por um incidente de segurança informática que, através de malware do tipo ransomware, afetou os servidores do centro informático MTOP. Foram realizadas várias atividades que permitiram recuperar informações críticas e restaurar os serviços afetados. Atualmente, estamos trabalhando em um plano de melhoria tecnológica para evitar futuros incidentes”.
A restauração dos sistemas
Veja isso
Costa Rica: governo atingido pela segunda vez por ransomware
Grupo hacker anuncia dados do Ministério da Defesa da Itália
O principal alvo do Play Ransomware é a região da América Latina, e o Brasil está no topo da lista. Embora pareçam um novo grupo de ransomware, seus TTPs identificados se parecem com od das famílias de ransomware Hive e Nokayawa. Um dos comportamentos semelhantes que os tornam parecidos é que eles usam o AdFind, uma ferramenta de consulta de linha de comando capaz de coletar informações do Active Directory.
Os pesquisadores descobriram que o grupo Play Ransomware é o primeiro agente de ameaça a recorrer à criptografia intermitente . Essa técnica fornece melhor evasão com criptografia parcial no sistema que usa análise estática para detectar infecção por ransomware .
