0
0
Especialistas em segurança dizem que ataques de dupla extorsão são uma tendência entre os operadores de ransomware
Especialistas em segurança estão alertando para o aumento das atividades de um novo ransomware, que já realizou ataques de extorsão dupla contra dezenas de vítimas até agora. Batizado de Egregor, o ransomware veio à tona pela primeira vez com um ataque à livraria Barnes & Noble e às desenvolvedoras de videogames Ubisoft e Crytek em outubro, de acordo com a Digital Shadows, especializada na prevenção a risco digital.
Na verdade, o grupo que opera o Egregor está em atividade desde setembro, quando comprometeu 15 vítimas. Em seguida, ocorreu um aumento massivo de 240% nos números, com 51 organizações atingidas no mês seguinte. Em 17 de novembro, havia acrescentado mais 21 vítimas.
De acordo com a fornecedora de segurança, uma pluralidade de vítimas do Egregor vem do setor de bens industriais e serviços (38%), e a grande maioria das empresas atacadas até agora (83%) está localizada nos Estados Unidos.
O malware foi projetado com várias medidas antianálise incorporadas, como ofuscação de código e cargas úteis compactadas, afirmou a Digital Shadows. “Mais especificamente, as interfaces de programação de aplicativos (APIs) do Windows são aproveitadas para criptografar os dados de carga útil. A menos que as equipes de segurança possam apresentar o argumento de linha de comando correto, os dados não podem ser descriptografados e o malware não pode ser analisado”, acrescentou a empresa em comunicado.
“Quando o argumento de linha de comando correto é apresentado, o malware é executado injetando-se no processo iexplore.exe, criptografando todos os arquivos de texto e documentos e incluindo uma nota de resgate dentro de cada pasta que contém um arquivo criptografado. Esse processo inclui arquivos em máquinas e servidores remotos por meio de verificações nos logs de eventos do LogMeIn”, diz o relatório.
Como muitos grupos que hoje operam ransomware, os cibercriminosos por trás do Egregor mantêm um site obscuro no qual postam dados roubados das vítimas em uma tentativa de forçar o pagamento de um resgate. Segue o exemplo do grupo que operava o ransomware Maze, que encerrou as operações em outubro.
O Egregorm por exemplo, postou 200 MB de dados sobre ativos no jogo da Ubisoft e afirmou ter o código-fonte de um título não lançado, Watchdogs: Legion. No caso da Crytek, 400 MB de dados roubados foram confirmados relacionados aos títulos Warface e Arena of Fate, observou a Digital Shadows.
FONTE: CISO ADVISOR