O FBI emitiu um alerta na segunda-feira (26) comunicando que o grupo criminosos Ranzy Locker foi o responsável por pelo menos 30 ataques que afetaram empresas de setores dos EUA como tecnologia, transporte e informação.
O alerta, emitido em conjunto com a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA), tem como objetivo informar corporações sobre o perigo do Ranzy Locker e demais agentes de sequestros virtuais (ransomware), além de mostrar como identificar tentativas de ataque desta ameaça.
O comunicado do FBI também afirma que o aviso de sequestro deixado pelos criminosos do Ranzy Locker tem semelhanças com os encontrados nos golpes feitos pelos agentes de ransomware AKO e ThunderX. Ambos os grupos sumiram há algum tempo, mas especulações indicam que se uniram para formar a ameaça alertada pelo órgão estadunidense em sua nota.
Como o ataque ocorre
O FBI informa que grande parte das vítimas tiveram seus sistemas invadidos por meio de ataques de força-bruta, onde os criminisos tentam credenciais aleatórioas até conseguirem acesso. Outros métodos utilizados foram o abuso de vulnerabilidades do Microsoft Exchange e o uso de senhas roubadas em golpes de phishing.
Uma vez dentro da rede de suas vítimas, os operadores do Ranzy Locker roubam documentos antes de realizar a criptografia dos arquivos. Esses dados extraviados normalmente contém informações sensíveis como dados de clientes e registros financeiros, e são usados para convencer as vítimas a realizarem o pagamento do resgate, a partir de ameaças de vazamentos, configurando um ataque de “dupla-extorsão”.
As vítimas são direcionadas para um site de pagamento em Tor, programa usado para comunicações 100% anônimas na internet, onde um chat é disponibilizado para negociação com os criminosos. Como parte da operação, os operadores do Ranzy Locker permitem que as pessoas afetadas liberem o acesso de três arquivos de graça, para provar que a restauração é real. Logo depois, eles exigem o pagamento do resgate.
Se o pagamento não ocorrer, os documentos serão disponibilizados para o público no site Ranzy Leak, junto de informações de outras empresas que se recusaram a cumprir as demandas dos criminosos.
Proteção
O Ranzy Locker é mais um exemplo de malware que está fazendo muitas vítimas pelo mundo. Porém, grande parte desses crimes virtuais podem ser impedidos com o uso de boas práticas de segurança.
Além disso, no começo de setembro, a CISA publicou um manual com instruções de como se prevenir dessas ameaças. Confira algumas das recomendações contidas no documento oficial a seguir:
- Fazer backups de dados frequentes, mantendo-os em um ambiente offline protegido por criptografia;
- Criar um plano básico de cibersegurança para responder a incidentes, manter operações e se comunicar sobre as etapas que devem ser seguidas;
- Usar configurações adequadas de acesso remoto, conduzir análises frequentes em busca de vulnerabilidades e manter softwares atualizados;
- Assegurar que todos usam configurações de segurança recomendadas, desabilitando portas que não são usadas e protocolos como o SMB (Server Message Block) quando isso for possível;
- Práticas boas práticas de higiene cibernética: manter softwares antivírus e antimalware ativos e atualizados, limitar o uso de contas com acesso privilegiado e usar sempre soluções de acesso multifator quando possível.
FONTE: CANALTECH