Um relatório assinado pelo pesquisador Matt Wixey, da Sophos, informa que está subindo a incidência de organizações que são atacadas múltiplas vezes por ransomware. Uma delas foi atacada três vezes: pelo Hive, pelo LockBit e pelo BlackCat. Segundo o pesquisador, alguns ataques ocorrem simultaneamente; outros estão separados por alguns dias, semanas ou meses. Há uma variedade de causas subjacentes, desde grandes vulnerabilidades e configurações incorretas até agentes de ameaças que competem por recursos e domínio em um ambiente de ameaças cada vez mais lotado.
Veja isso
Sai ferramenta para recuperar arquivos codificados pelo Hive
Gangue do ransomware Conti assume a operação do TrickBot
As causas-raiz da maioria das explorações múltiplas frequentemente se resumem a dois problemas: os alvos não conseguem abordar as vulnerabilidades exploráveis em software ou hardware; e, após um ataque, as vítimas não conseguem lidar com ferramentas maliciosas ou configurações incorretas de hardware ou software, deixadas pelos invasores. Mas há um pouco mais de complexidade nisso, diz o pesquisador: os casos discutidos no relatório indicam que geralmente há uma sequência específica de exploração – os criptomineradores chegam primeiro, seguidos por construtores de botnet wormable (como Mirai) e finalmente sistemas de entrega de malware (webshells e/ou RATs) , que podem fornecer dados para os vendedores de acesso inicial (IABs) e, finalmente, ransomware.
As conclusões do relatório são as seguintes:
- Deve-se atualizar absolutamente tudo
- Priorize os piores bugs primeiro
- Cuide das suas configurações
- Suponha que outros invasores tenham encontrado suas vulnerabilidades
- Não caminhe devagar abordando um ataque em andamento
- Ransomware é amigo de ransomware
- Atacantes abrem novos backdoors
- Alguns atacantes são piores que outros
É difícil afirmar estatisticamente, conclui o pesquisador, que os ataques múltiplos estejam aumentando. “Mas os sinais apontam para uma resposta afirmativa”. Como o diretor de resposta a incidentes da Sophos, Peter Mackenzie, observa: “Isso é algo que estamos vendo afetando cada vez mais organizações, e é provavelmente devido a um mercado cada vez mais lotado de agentes de ameaças, bem como ransomware-as-a-service. (RaaS) tornando-se mais profissionalizado e reduzindo a fasquia da entrada.” À medida que os programas de afiliados de ransomware continuam a recrutar e expandir, e os criptomineradores continuam a tirar proveito de novas vulnerabilidades, o número de predadores aumenta – assim como o número de oportunidades. Em geral, as explorações múltiplas se devem ao fato de a vítima não abordar a causa subjacente do ataque inicial. Outros fatores que impulsionam vários ataques surgem de recursos do ecossistema criminoso, mas há coisas que as organizações podem fazer para evitar se tornar parte desse ecossistema em primeiro lugar.
