As equipes de segurança corporativa podem adicionar mais três variantes de ransomware à lista cada vez maior de ameaças de ransomware que precisam monitorar.
As três variantes – Vohuk, ScareCrow e AESRT – como a maioria das ferramentas de ransomware, têm como alvo os sistemas Windows e parecem estar se proliferando de forma relativamente rápida em sistemas pertencentes a usuários em vários países. Pesquisadores de segurança do FortiGuard Labs da Fortinet, que estão rastreando as ameaças esta semana, descreveram as amostras de ransomware como ganhando força no banco de dados de ransomware da empresa.
análise da Fortinet das três ameaças mostraram que são ferramentas padrão de ransomware do tipo que, no entanto, foram muito eficazes na criptografia de dados em sistemas comprometidos. O alerta da Fortinet não identificou como os operadores das novas amostras de ransomware estão distribuindo seu malware, mas observou que o e-mail de phishing costuma ser o vetor mais comum para infecções por ransomware.
Um número crescente de variantes
“Se o crescimento do ransomware em 2022 indica o que o futuro reserva, as equipes de segurança em todos os lugares devem esperar que esse vetor de ataque se torne ainda mais popular em 2023”, diz Fred Gutierrez, engenheiro de segurança sênior do FortiGuard Labs da Fortinet.
Apenas no primeiro semestre de 2022, o número de novas variantes de ransomware identificadas pelo FortiGuard Labs aumentou quase 100% em comparação com o período de seis meses anterior, diz ele. A equipe do FortiGuard Labs documentou 10,666 novas variantes de ransomware no primeiro semestre de 2022, em comparação com apenas 5,400 no segundo semestre de 2021.
“Esse crescimento em novas variantes de ransomware se deve principalmente a mais invasores aproveitando o ransomware como serviço (RaaS) na Dark Web”, diz ele.
Ele acrescenta: “Além disso, talvez o aspecto mais perturbador seja que estamos vendo um aumento em ataques de ransomware mais destrutivos em escala e em praticamente todos os tipos de setor, que esperamos continuar em 2023”.
Cepas de ransomware padrão, mas eficazes
A variante do ransomware Vohuk que os pesquisadores da Fortinet analisaram parecia estar em sua terceira iteração, indicando que seus autores a estão desenvolvendo ativamente.
O malware lança uma nota de resgate, “README.txt”, nos sistemas comprometidos que solicita às vítimas que entrem em contato com o invasor por e-mail com um ID exclusivo, disse a Fortinet. A nota informa à vítima que o invasor não tem motivação política, mas está interessado apenas em ganhos financeiros - presumivelmente para garantir às vítimas que obteriam seus dados de volta se pagassem o resgate exigido.
Enquanto isso, “o ScareCrow é outro ransomware típico que criptografa arquivos nas máquinas das vítimas”, disse Fortinet. “Sua nota de resgate, também intitulada 'readme.txt', contém três canais do Telegram que as vítimas podem usar para falar com o invasor.”
Embora a nota de resgate não contenha nenhuma exigência financeira específica, é seguro presumir que as vítimas precisarão pagar um resgate para recuperar os arquivos criptografados, disse a Fortinet.
A pesquisa do fornecedor de segurança também mostrou alguma sobreposição entre o Espantalho e o infame Variante do ransomware Conti, uma das ferramentas de ransomware mais prolíficas de todos os tempos. Ambos, por exemplo, usam o mesmo algoritmo para criptografar arquivos e, assim como o Conti, o ScareCrow exclui as cópias de sombra usando o utilitário de linha de comando WMI (wmic) para tornar os dados irrecuperáveis nos sistemas infectados.
Submissões ao VirusTotal sugerem que o ScareCrow infectou sistemas nos Estados Unidos, Alemanha, Itália, Índia, Filipinas e Rússia.
E, finalmente, o AESRT, a terceira nova família de ransomware que a Fortinet detectou recentemente, tem funcionalidade semelhante às outras duas ameaças. A principal diferença é que, em vez de deixar uma nota de resgate, o malware exibe uma janela pop-up com o endereço de e-mail do invasor e um campo que exibe uma chave para descriptografar os arquivos criptografados assim que a vítima paga o resgate exigido.
O colapso da criptografia diminuirá a ameaça de ransomware?
As novas variantes se somam à longa – e sempre crescente – lista de ameaças de ransomware com as quais as organizações agora precisam lidar diariamente, à medida que os operadores de ransomware continuam martelando incansavelmente nas organizações empresariais.
Dados sobre ataques de ransomware que a LookingGlass analisou no início deste ano mostraram que havia alguns 1,133 ataques de ransomware confirmados somente no primeiro semestre de 2022 - mais da metade (52%) dos quais afetou empresas dos EUA. A LookingGlass descobriu que o grupo de ransomware mais ativo era aquele por trás da variante LockBit, seguido por grupos por trás do ransomware Conti, Black Basta e Alphy.
No entanto, a taxa de atividade não é constante. Alguns fornecedores de segurança relataram observar uma leve desaceleração na atividade de ransomware durante certas partes do ano.
Em um relatório do meio do ano, a SecureWorks, por exemplo, disse que seus compromissos de resposta a incidentes em maio e junho sugeriram que a taxa de sucesso de novos ataques de ransomware diminuiu um pouco.
A SecureWorks identificou que a tendência provavelmente está relacionada, pelo menos em parte, à interrupção da operação Conti RaaS este ano e a outros fatores, como o efeito perturbador da guerra na Ucrânia em gangues de ransomware.
Outro relatório, do Identity Theft Resource Center (ITRC), relatou um declínio de 20% em ataques de ransomware isso resultou em uma violação durante o segundo trimestre de 2022 em comparação com o primeiro trimestre do ano. O ITRC, como o SecureWorks, identificou o declínio como tendo a ver com a guerra na Ucrânia e, significativamente, com o colapso das criptomoedas que os operadores de ransomware preferem para pagamentos.
Bryan Ware, CEO da LookingGlass, diz acreditar que o colapso das criptomoedas pode atrapalhar os operadores de ransomware em 2023.
“O recente escândalo do FTX fez com que as criptomoedas decolassem, e isso afeta a monetização do ransomware e o torna essencialmente imprevisível”, diz ele. “Isso não é um bom presságio para os operadores de ransomware, pois eles terão que considerar outras formas de monetização a longo prazo”.
Ware diz que tendências em torno de criptomoedas tem alguns grupos de ransomware considerando o uso de suas próprias criptomoedas: “Não temos certeza de que isso se materializará, mas, no geral, os grupos de ransomware estão preocupados com a forma como monetizarão e manterão algum nível de anonimato daqui para frente”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
