ransomware

Semana é marcada por forte escalada global de ataques de ransomware

Na semana que passou houve uma enorme onda de ataques, que afetaram desde a Polícia de Washington D.C. até o TJ do Rio Grande do Sul
Da Redação
02/05/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

As gangues de ransomware continuam a visar empresas de todos os portes, no mundo todo, e agora também órgãos de aplicação da lei, como o ataque ao Departamento de Polícia do Distrito de Columbia (EUA), onde fica a capital do país, Washington D.C., nos EUA. Mas na semana que passou houve uma forte escalada global dessa modalidade de ataque, que afetaram, além da Polícia Metropolitana de Washington, a companhia ferroviária Merseyrail no Reino Unido, o município de Whistler no Canadá e o Tribunal de Justiça do Rio Grande do Sul no Brasil.

O ransomware Qlocker, que tem como alvo dispositivos de armazenamento em rede QNAP, havia faturado até este domingo, 2, US$ 260 mil com o pagamento de resgates, o que provavelmente deve aumentar nesta semana uma vez que ele está em plena atividade.

A boa notícia da semana, se é que se pode dizer assim, é que, depois de ameaçar vazar os dados do Departamento de Polícia Metropolitana, o grupo que opera o Babuk Locker felizmente decidiu não criptografar mais sistemas e se concentrar em obter o resgate de dados já roubados.

O site Bleeping Computer elaborou um cronograma de ataques de ransomware ocorridos na semana passada, a partir de informações fornecidas por vários outros sites especializados em cibersegurança e por meio da colaboração de pesquisadores de segurança. Confira, a seguir, a cronologia dos ataques:

# 24 de abril — O grupo hacker Made, que opera o ransomware Qlocker, faturou US$ 260 mil criptografando remotamente arquivos em dispositivos de storage QNAP usando o utilitário de arquivamento 7zip em um intervalo de cinco dias. O Qlocker explorou vulnerabilidades em computadores de usuários do QNAP NAS em todo o mundo, que somente descobriram que seus arquivos haviam sido criptografados na segunda-feira, 24 de abril.

  • Uma nova variante do ransomware Dharma foi descoberta pelo pesquisador de ameaças Jakub Kroustek. Segundo ele, a nova cepa anexa a extensão .bdev a arquivos criptografados.

# 25 de abril — O GrujaRS encontrou uma variante do ransomware Stupid autodenominada NoCry que acrescenta a extensão .Cry a arquivos criptografados. Ele também descobriu uma nova cepa do ransomware Conti que anexa a extensão .GFYPK.

Veja isso
12 mil servidores perdidos no ataque de ransomware ao TJ do Rio Grande do Sul
Hacker põe à venda 4,8 milhões registros da edtech Descomplica

# 26 de abril — O grupo cibercriminoso Babuk Locker atacou os servidores do Departamento de Polícia do Distrito de Columbia (EUA), onde fica a capital do país, Washington D.C., e ameaça divulgar os dados de investigações criminais e de informantes da polícia em caso de não pagamento do resgate. A gangue agora está ameaçando vazar novos logotipos da Apple e planos para o iPad.

  • Na mesma data, o grupo que opera o ransomware REvil removeu misteriosamente os esquemas da Apple de seu site de vazamento de dados, após avisar a Quanta Computer, fabricante taiwanesa que produz para a Apple, vazaria desenhos do novo iPad e novos logotipos da Apple.
  • No dia 26, foi noticiado que as violações de dados causadas pela gangue de ransomware Clop, que explora uma vulnerabilidade de dia zero, tiveram aumento acentuado no valor médio dos resgates nos primeiros três meses do ano.
  • Mas as atividades criminosas não pararam por aí. O dnwls0719 encontrou uma nova variante de ransomware Dharma que anexa a extensão .ALNBR a arquivos criptografados. Os vetores de ataque do ransomware mudam à medida que novas explorações de vulnerabilidade de software são descobertas.
  • O relatório trimestral sobre ransomware Coveware descreve as tendências de resposta a incidentes de ransomware durante o primeiro trimestre. Segundo o estudo, o valor médio dos pedidos de pagamento de resgate em extorsões digitais disparou no período para US$ 220.298, um aumento de 43% em relação ao trimestre anterior. O valor médio dos pagamentos, no entanto, foi de US$ 78.398 no período, um salto de 58% em relação aos US$ 49.450 registrados entre janeiro e março do ano passado.
  • Já o PCrisk, fórum criado para ajudar na remoção de spyware e vírus, encontrou uma nova variante do ransomware Phobos que anexa a extensão .lookfornewitguy.

# 27 de abril — O grupo REvil, que opera o ransomware Sodinokibi, está muito ativo atualmente. E parece determinado a continuar com mais violações, embora seus ataques pareçam cada vez menos bem-sucedidos. 

  • Nessa data, a EMSI Soft publicou estudo que aponta que a demanda média de resgate cresceu mais de 80% no ano passado. Globalmente, ao menos US$ 18 bilhões foram pagos em resgates em 2020, sem contar que o custo por tempo de inatividade nos setores público e privado acrescentou bilhões a mais nesses custos.
  • Ainda no dia 27, os servidores SharePoint da Microsoft se juntaram à lista de dispositivos de rede que estão sendo explorados ​​como portas de entrada de gangues de ransomware em redes corporativas.

# 28 de abril — A rede ferroviária Merseyrail do Reino Unido confirmou um ataque cibernético depois que a gangue que opera o ransomware Lockbit usou o sistema de e-mail da empresa para enviar mensagens aos funcionários e jornalistas informando sobre o ataque.

  • Nesse dia, o dnwls0719 encontrou uma nova variante de ransomware Dharma que anexa a extensão .cum a arquivos criptografados.

# 29 de abril — A Ransomware Task Force, coalizão que reúne mais de 50 especialistas em segurança cibernética, compartilhou uma estrutura de ações para interromper o modelo de negócios de ransomware.

  • O município de Whistler na Colúmbia Britânica, Canadá, sofreu um ataque cibernético de uma nova operação de ransomware ainda não identificada.
  • O Tribunal de Justiça do Rio Grande do Sul foi atingido nesse dia por um ataque do grupo REvil que criptografou arquivos de funcionários e forçou o tribunal a fechar sua rede. Os cibercriminosos pediram o equivalente a US$ 5 milhões em criptomoedas para fornecer as chaves que podem decodificar o conteúdo criptografado em servidores e estações de trabalho. 
  • Os usuários de dispositivos de armazenamento QNAP foram mais uma vez alertados a proteger seus dispositivos Network Attached Storage (NAS) para se defender contra ataques do ransomware Qlocker.
  • Depois de apenas alguns meses de atividade, os operadores do ransomware Babuk postaram uma mensagem curta sobre a intenção de encerrar o negócio de extorsão após terem alcançado seu objetivo.
  • A equipe de pesquisadores de segurança da MalwareHunter encontrou um novo ransomware denominado CryBaby.

# 30 de abril — Uma nova mensagem hoje dos operadores do ransomware Babuk esclarece que a gangue decidiu fechar o programa de afiliados e passar para um modelo de extorsão que não depende da criptografia dos computadores das vítimas

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest