Guia do CSO para o pior e mais notável ransomware

Views: 133
0 0
Read Time:12 Minute, 39 Second

O ransomware tem uma longa história , que remonta ao final dos anos 1980. Hoje, está gerando bilhões de dólares em receitas para os grupos criminosos por trás disso. As vítimas incorrem em custos de recuperação, mesmo que paguem o resgate. A Sophos relata que o custo médio de um ataque de ransomware em 2020 foi de quase US $ 1,5 milhão para as organizações vítimas que pagaram resgates e cerca de US $ 732.000 para as que não pagaram.

Dado o benefício financeiro para os invasores, não é surpresa que as gangues de ransomware e o malware tenham proliferado. O número de atores de ameaças de ransomware – aqueles capazes de desenvolver e entregar código – está provavelmente na casa das centenas. Isso não inclui os chamados “afiliados” que compram ofertas de ransomware-as-a-service (RaaS) de alguns desses agentes de ameaças.

Abaixo está uma lista dos principais malwares e grupos de ransomware, selecionados para inclusão com base em seu impacto ou recursos inovadores. Não é, e não pretende ser, uma lista exaustiva. E embora alguns desses grupos de ransomware não estejam mais ativos, isso não é garantia de que eles não reaparecerão maiores e mais violentos algum dia, como costuma acontecer.

Cerber 

História: Cerber é uma plataforma RaaS que apareceu pela primeira vez em 2016, rendendo aos atacantes US $ 200.000 em julho daquele ano.https://imasdk.googleapis.com/js/core/bridge3.442.0_en.html#goog_908553435Volume 0%

Como funciona: Cerber tirou proveito de uma vulnerabilidade da Microsoft para infectar redes. Ele funciona de forma semelhante a outras ameaças de ransomware. Ele criptografa arquivos com o algoritmo AES-256 e tem como alvo dezenas de tipos de arquivos, incluindo documentos, fotos, arquivos de áudio, vídeos, arquivos e backups. Ele também pode procurar e criptografar compartilhamentos de rede disponíveis, mesmo se eles não estiverem mapeados para uma letra de unidade no computador. Cerber então coloca três arquivos na área de trabalho da vítima que contêm o pedido de resgate e instruções sobre como pagá-lo.

Vítimas direcionadas: Como uma plataforma RaaS, Cerber é uma ameaça para qualquer pessoa.

Atribuição: os criadores da Cerber vendem a plataforma em um fórum privado em russo.

Contas

História: Aparecendo pela primeira vez em maio de 2020, a plataforma Conti RaaS é considerada a sucessora do ransomware Ryuk. Em janeiro de 2021, acredita-se que Conti infectou mais de 150 organizações e ganhou milhões de dólares para seus desenvolvedores criminosos e suas afiliadas. Pelo menos três novas versões foram encontradas desde seu início.

Como funciona: a gangue Conti usa a dupla ameaça de reter a chave de descriptografia e vender ou vazar dados confidenciais de suas vítimas. Na verdade, ela mantém um site, o Conti News, onde lista suas vítimas e publica dados roubados. Depois que o malware infecta um sistema, ele passa o tempo movendo-se lateralmente para obter acesso a sistemas mais confidenciais. Conti é conhecido por criptografar arquivos rapidamente por meio do uso de multithreading.

Vítimas visadas : Como uma operação RaaS, Conti é uma ameaça para qualquer pessoa, embora a última rodada de infecções em janeiro de 2021 pareça ter como alvo organizações governamentais.

Atribuição: Conti é o trabalho de uma única gangue cujos membros permanecem não identificados.

CryptoLocker

História: Descoberto pela primeira vez no ataque de 2013, o CryptoLocker lançou a era moderna do ransomware e infectou até 500.000 máquinas Windows em seu auge. Ele também é conhecido como TorrentLocker. Em julho de 2014, o Departamento de Justiça dos Estados Unidos declarou que havia “neutralizado” o CryptoLocker.

Como funciona: o CryptoLocker é um cavalo de Tróia que pesquisa computadores infectados em busca de arquivos para criptografar, incluindo qualquer dispositivo de armazenamento interno ou conectado à rede. Normalmente é entregue por meio de e-mails de phishing com anexos de arquivo que contêm links maliciosos. Um downloader é ativado assim que o arquivo é aberto, infectando o computador.

Vítimas direcionadas: o CryptoLocker não parece ter como alvo nenhuma entidade específica.

Atribuição: CryptoLocker foi criado por membros da gangue criminosa que desenvolveu o Gameover Zeus, um Trojan bancário.

CryptoWall

História: CryptoWall , também conhecido como CryptoBit ou CryptoDefense, apareceu pela primeira vez em 2014 e se tornou popular depois que o CryptoLocker original foi encerrado. Ele passou por várias revisões.

Como funciona: o CryptoWall é distribuído por meio de kits de spam ou exploit. Seus desenvolvedores parecem evitar sofisticação em favor de uma abordagem de ransomware clássica simples, mas eficaz. Em seus primeiros seis meses de operação, ele infectou 625.000 computadores.

Vítimas direcionadas: este ransomware vitimou dezenas de milhares de organizações de todos os tipos em todo o mundo, mas evita países de língua russa.

Atribuição: O desenvolvedor do CryptoWall é provavelmente uma gangue criminosa que opera em um país de língua russa. O CryptoWall 3.0 detecta se está sendo executado em um computador na Bielo-Rússia, Ucrânia, Rússia, Cazaquistão, Armênia ou Sérvia e se desinstala.

CTB-Locker

História: relatado pela primeira vez em 2014, o CTB-Locker é outra oferta RaaS conhecida por sua alta taxa de infecção. Em 2016, uma nova versão do CTB-Locker foi direcionada a servidores web.

Como funciona: os afiliados pagam uma taxa mensal aos desenvolvedores do CTB-Locker para acesso ao código do ransomware hospedado. O ransomware usa criptografia de curva elíptica para criptografar dados. Ele também é conhecido por seus recursos multilíngues , o que aumenta o número global de vítimas em potencial.

Vítimas visadas : devido ao seu modelo RaaS, o CTB-Locker é uma ameaça para qualquer organização, mas os países de nível 1 na Europa Ocidental, América do Norte e Austrália são os alvos mais comuns, especialmente se eles já pagaram resgates no passado.

Double Paymer

História: A DoppelPaymer apareceu pela primeira vez em junho de 2019 e ainda está ativa e perigosa. A Divisão Cibernética do FBI dos EUA emitiu um alerta sobre isso em dezembro de 2020. Em setembro de 2020, foi usado no primeiro ransomware que resultou em uma morte quando um hospital alemão vitimado foi forçado a enviar um paciente para outra instalação.

Como funciona: a gangue por trás da DoppelPaymer usa a tática incomum de ligar para as vítimas, usando números de telefone falsos com base nos EUA, para exigir um pagamento de resgate, que normalmente é de cerca de 50 bitcoins, ou cerca de US $ 600.000 quando apareceu pela primeira vez. Eles alegaram ser da Coreia do Norte e fizeram a dupla ameaça de vazar ou vender os dados roubados. Em alguns casos, eles deram um passo adiante, ameaçando os funcionários de empresas vítimas de danos.

O DoppelPaymer parece ser baseado no ransomware BitPaymer, embora tenha algumas diferenças importantes, como o uso de criptografia de arquivo encadeada para uma melhor taxa de criptografia. Também ao contrário do BitPaymer, a DoppelPaymer usa uma ferramenta chamada Process Hacker para encerrar os serviços e processos de segurança, servidor de e-mail, backup e banco de dados para enfraquecer as defesas e evitar interromper o processo de criptografia.

Vítimas visadas : A DoppelPaymer tem como alvo setores críticos de saúde, serviços de emergência e educação.

Atribuição: Não está claro, mas alguns relatórios sugerem que uma ramificação do grupo por trás do Trojan Dridex, conhecido como TA505, é responsável pelo DoppelPaymer.

Egregor

História: Egregor apareceu em setembro de 2020 e está crescendo rapidamente. Seu nome vem do mundo oculto e é definido como “a energia coletiva de um grupo de pessoas, especialmente quando alinhado com um objetivo comum.” Em 9 de fevereiro de 2021, uma operação conjunta das autoridades norte-americanas, ucranianas e francesas prendeu vários membros e afiliados do grupo Egregor e tirou seu site do ar.

Como funciona: o Egregor segue a tendência de “dupla extorsão” de criptografar dados e ameaçar vazar informações confidenciais se o resgate não for pago. Sua base de código é relativamente sofisticada e capaz de evitar a detecção usando técnicas de ofuscação e anti-análise. 

Vítimas visadas: no final de novembro , a Egregor vitimou pelo menos 71 organizações em 19 setores em todo o mundo.

Atribuição: A ascensão de Egregor coincide com a gangue de ransomware Maze encerrando suas operações. Afiliados do grupo Maze parecem ter mudado para Egregor. É uma variante da família de ransomware Sekhmet e está associado ao malware Qakbot.

FONIX

História: FONIX é uma oferta RaaS que foi descoberta pela primeira vez em julho de 2020. Ele passou rapidamente por uma série de revisões de código, mas fechou abruptamente em janeiro de 2021. A gangue FONIX então lançou sua chave mestre de descriptografia.

Como funciona: a gangue FONIX anunciava seus serviços em fóruns de crimes cibernéticos e na dark web. Os compradores do FONIX enviariam à turma um endereço de e-mail e uma senha. A gangue então envia a carga útil do ransomware personalizado para o comprador. A gangue FONIX fica com uma redução de 25% de todas as taxas de resgate pagas.

Vítimas visadas: Como o FONIX é RAAS, qualquer pessoa pode ser uma vítima.

Atribuição: Uma gangue cibercriminosa desconhecida

GandCrab 

História: GandCrab pode ser o RaaS mais lucrativo de todos os tempos. Seus desenvolvedores reivindicam mais de US $ 2 bilhões em pagamentos de vítimas em julho de 2019. O GandCrab foi identificado pela primeira vez em janeiro de 2018.

Como funciona: GandCrab é um programa de ransomware afiliado para cibercriminosos que pagam a seus desenvolvedores uma parte das taxas de resgate que eles coletam. O malware é normalmente entregue por meio de documentos maliciosos do Microsoft Office enviados por e-mails de phishing. Variações do GandCrab exploraram vulnerabilidades em softwares como o Atlassian’s Confluence . Nesse caso, os invasores usam a falha para injetar um modelo não autorizado que permite a execução remota de código.

Vítimas visadas: GandCrab infectou sistemas globalmente em vários setores, embora tenha sido projetado para evitar sistemas em regiões de língua russa.

Atribuição: GandCrab foi vinculado ao russo Igor Prokopenko .

GoldenEye

História: Surgido em 2016, GoldenEye  parece ser baseado no ransomware Petya .

Como funciona: o GoldenEye foi inicialmente disseminado por meio de uma campanha dirigida aos departamentos de recursos humanos com cartas de apresentação e currículos falsos. Depois que sua carga infecta um computador, ele executa uma macro que criptografa arquivos no computador, adicionando uma extensão aleatória de 8 caracteres ao final de cada arquivo. O ransomware então modifica o registro mestre de inicialização do disco rígido do computador com um carregador de inicialização personalizado. 

Vítimas visadas : GoldenEye primeiro visou usuários de língua alemã em seus e-mails de phishing.

Atribuição: Desconhecida

Jigsaw

História: O Jigsaw  apareceu pela primeira vez em 2016, mas os pesquisadores lançaram uma ferramenta de descriptografia logo após sua descoberta.

Como funciona: o aspecto mais notável do Jigsaw é que ele criptografa alguns arquivos, exige um resgate e, em seguida, exclui arquivos progressivamente até que o resgate seja pago. Ele exclui um arquivo por hora por 72 horas. Nesse ponto, ele exclui todos os arquivos restantes.

Vítimas direcionadas: Jigsaw parece não ter como alvo nenhum grupo de vítimas.

Atribuição: Desconhecida

KeRanger

História: KeRanger , descoberto em 2016, é considerado o primeiro ransomware operacional projetado para atacar aplicativos Mac OS X.

Como funciona : o KeRanger foi distribuído por meio de um cliente BitTorrent legítimo, mas comprometido, que conseguiu escapar da detecção porque tinha um certificado válido.

Vítimas visadas: usuários de Mac

Atribuição: Desconhecida

Leatherlocker 

História: Leatherlocker foi descoberto pela primeira vez em 2017 em dois aplicativos Android: Booster & Cleaner e Wallpaper Blur HD. O Google removeu os aplicativos de sua loja logo após a descoberta.

Como funciona: as vítimas baixam o que parece ser um aplicativo legítimo. O aplicativo então pede permissões que concedem o acesso de malware necessário para executar. Em vez de criptografar arquivos, ele bloqueia a tela inicial do dispositivo para impedir o acesso aos dados.

Vítimas-alvo: usuários do Android que baixam os aplicativos infectados.

Atribuição: Um grupo desconhecido de criminosos cibernéticos.

LockerGoga

História: A LockerGoga apareceu em 2019 em um ataque contra empresas industriais. Embora os invasores tenham pedido um resgate, a LockerGoga parecia intencionalmente projetada para dificultar o pagamento do resgate. Isso levou alguns pesquisadores a acreditar que sua intenção era perturbar, e não obter ganhos financeiros.

Como funciona: a LockerGoga usou uma campanha de phishing com anexos de documentos maliciosos para infectar sistemas. A carga útil foi assinada com certificados válidos, o que lhes permitiu contornar a segurança.

Vítimas visadas: a LockerGoga vitimou empresas de manufatura europeias, principalmente a Norsk Hydro, onde causou o fechamento global de TI.

Atribuição: Alguns pesquisadores dizem que a LockerGoga provavelmente foi obra de um estado-nação.

Locky

História:  Locky começou a se espalhar em 2016 e usou um modo de ataque semelhante ao malware bancário Dridex . Locky inspirou uma série de variantes, incluindo Osiris e Diablo6.

Como funciona: as vítimas geralmente recebem um e-mail com um documento do Microsoft Word que pretende ser uma fatura. Essa fatura contém macro maliciosa. A Microsoft desativa macros por padrão  devido aos perigos de segurança. Se as macros estiverem habilitadas, o documento executa a macro, que baixa o Locky. Dridex usa a mesma técnica para roubar credenciais de conta.

Vítimas visadas : os primeiros ataques de Locky visavam hospitais, mas as campanhas subsequentes eram amplas e não direcionadas.

Atribuição: Suspeita-se que o grupo cibercriminoso por trás do Locky seja afiliado a um dos responsáveis ​​pelo Dridex devido às semelhanças entre os dois.

Labirinto 

História : Maze é um grupo de ransomware relativamente novo, descoberto em maio de 2019. É conhecido por liberar dados roubados ao público se a vítima não pagar para decifrá-los. O grupo Maze anunciou em setembro de 2020 que estava fechando suas operações.

Como funciona: os invasores de labirinto geralmente conseguem entrar nas redes remotamente usando credenciais válidas que podem ser adivinhadas, padrão ou obtidas por meio de campanhas de phishing. O malware então varre a rede usando ferramentas de código aberto para descobrir vulnerabilidades e aprender sobre a rede. Em seguida, ele se move lateralmente pela rede em busca de mais credenciais que podem ser usadas para escalonamento de privilégios. Depois de encontrar as credenciais do administrador do domínio, ele pode acessar e criptografar qualquer coisa na rede.

FONTE: CSO ONLINE

Previous post LGPD: lei precisa evoluir para prever compensações indenizatórias ao titular
Next post Dispositivos Windows e Linux vêm sendo usados para minerar criptomoeda

Deixe um comentário