0
0
Por Felipe Gugelmin
Capítulo mais recente dos ataques de ransomware que estão marcando 2021, a ação contra a Kaseya mostra como os criminosos do REvil estão evitando intencionalmente prejudicar alvos na Rússia. Segundo um relato da Trustwave SpiderLabs, o malware é configurado de forma a não afetar sistemas que usam como linguagem principal o russo ou idiomas relacionados.
“Eles não querem perturbar as autoridades locais, e eles sabem que vão conseguir exercer seus negócios por muito mais tempo se fizerem isso dessa maneira”, afirmou à NBC News Ziv Mador, vice-presidente de pesquisa em segurança da Trustwave SpiderLabs. Já considerado como o maior ataque do tipo da história, a paralisação dos sistemas da Kaseya afetou centenas de organizações ao redor do mundo, e muitas delas devem levar semanas para começar a se recuperar.https://platform.twitter.com/embed/Tweet.html?creatorScreenName=canaltech&dnt=false&embedId=twitter-widget-0&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3R3ZWV0X2VtYmVkX2NsaWNrYWJpbGl0eV8xMjEwMiI6eyJidWNrZXQiOiJjb250cm9sIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1412909900951220227&lang=pt&origin=https%3A%2F%2Fcanaltech.com.br%2Fseguranca%2Fataque-de-ransomware-que-afetou-20-paises-traz-codigo-que-evita-alvos-na-russia-189331%2F&sessionId=0e43706950c4dbc3c17c1f8144f27b628437910c&siteScreenName=canaltech&theme=light&widgetsVersion=82e1070%3A1619632193066&width=550px
Segundo o pesquisador Marcus Hutchins (identificado publicamente como @MalwareTechBlog no Twitter), esse não é um comportamento seguido somente pelo REvil. De acordo com ele, é comum que códigos de malwares chequem pacotes de linguagem e teclados CIS e a geolocalização de suas vítimas antes de continuar suas ações.
“Contanto que os atacantes se esforcem para não afetar usuários ou companhias russas, é improvável que eles sejam presos”, afirmou Hutchins. “Não tenho realmente certeza porque o artigo cita uma companhia de segurança afirmando que foram os primeiros a identificar isso, dado que essa é uma característica bem conhecida e falar do REvil desde que o ransomware foi descoberto pela primeira vez”, comenta ele sobre o artigo da NBC News.
Agências de segurança nos Estados Unidos e no Reino Unido acusam a Rússia de financiar e dar asilo a grupos como o REvil, CozyBear e DarkSide (entre outros), envolvidos em ações que afetam diversas empresas e organizações governamentais. O Kremlin costuma negar a participação em casos do tipo, afirmando que nenhum deles possui conexões oficiais com Moscou.
FONTE: CANALTECH