banner senha segura
senhasegura
Ransom retalia e vaza docs confidenciais de Lockheed, Boeing, Tesla

Novo ransomware Egregor opera com ataques de dupla extorsão

Especialistas em segurança dizem que ataques de dupla extorsão são uma tendência entre os operadores de ransomware
Da Redação
26/11/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Especialistas em segurança estão alertando para o aumento das atividades de um novo ransomware, que já realizou ataques de extorsão dupla contra dezenas de vítimas até agora. Batizado de Egregor, o ransomware veio à tona pela primeira vez com um ataque à livraria Barnes & Noble e às desenvolvedoras de videogames Ubisoft e Crytek em outubro, de acordo com a Digital Shadows, especializada na prevenção a risco digital.

Na verdade, o grupo que opera o Egregor está em atividade desde setembro, quando comprometeu 15 vítimas. Em seguida, ocorreu um aumento massivo de 240% nos números, com 51 organizações atingidas no mês seguinte. Em 17 de novembro, havia acrescentado mais 21 vítimas.

De acordo com a fornecedora de segurança, uma pluralidade de vítimas do Egregor vem do setor de bens industriais e serviços (38%), e a grande maioria das empresas atacadas até agora (83%) está localizada nos Estados Unidos.

Veja isso
Ransomware com dupla extorsão ataca hospitais
Extorsão dupla: Grupos de ransomware criam sites de vazamento de dados

O malware foi projetado com várias medidas antianálise incorporadas, como ofuscação de código e cargas úteis compactadas, afirmou a Digital Shadows. “Mais especificamente, as interfaces de programação de aplicativos (APIs) do Windows são aproveitadas para criptografar os dados de carga útil. A menos que as equipes de segurança possam apresentar o argumento de linha de comando correto, os dados não podem ser descriptografados e o malware não pode ser analisado”, acrescentou a empresa em comunicado.

“Quando o argumento de linha de comando correto é apresentado, o malware é executado injetando-se no processo iexplore.exe, criptografando todos os arquivos de texto e documentos e incluindo uma nota de resgate dentro de cada pasta que contém um arquivo criptografado. Esse processo inclui arquivos em máquinas e servidores remotos por meio de verificações nos logs de eventos do LogMeIn”, diz o relatório.

Como muitos grupos que hoje operam ransomware, os cibercriminosos por trás do Egregor mantêm um site obscuro no qual postam dados roubados das vítimas em uma tentativa de forçar o pagamento de um resgate. Segue o exemplo do grupo que operava o ransomware Maze, que encerrou as operações em outubro.

O Egregorm por exemplo, postou 200 MB de dados sobre ativos no jogo da Ubisoft e afirmou ter o código-fonte de um título não lançado, Watchdogs: Legion. No caso da Crytek, 400 MB de dados roubados foram confirmados relacionados aos títulos Warface e Arena of Fate, observou a Digital Shadows.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório