0
0
Hive, LockBit e BlackCat, três proeminentes gangues de ransomware , atacaram consecutivamente a mesma rede, de acordo com a Sophos. Os dois primeiros ataques ocorreram dentro de duas horas, e o terceiro ataque ocorreu duas semanas depois. Cada gangue de ransomware deixou sua própria demanda de resgate, e alguns dos arquivos foram criptografados triplamente.
“Já é ruim o suficiente receber uma nota de ransomware, quanto mais três”, disse John Shier , consultor sênior de segurança da Sophos . “Vários invasores criam um nível totalmente novo de complexidade para recuperação, principalmente quando os arquivos de rede são criptografados triplamente. A segurança cibernética que inclui prevenção, detecção e resposta é fundamental para organizações de qualquer tamanho e tipo – nenhuma empresa está imune.”
O whitepaper “Multiple Attackers: A Clear and Present Danger” descreve ainda casos adicionais de ataques cibernéticos sobrepostos, incluindo criptomineradores, trojans de acesso remoto (RATs) e bots. No passado, quando vários invasores visavam o mesmo sistema, os ataques geralmente ocorriam ao longo de vários meses ou vários anos. Os ataques descritos no whitepaper da Sophos ocorreram dentro de dias ou semanas um do outro – e, em um caso, simultaneamente – geralmente com os diferentes invasores acessando a rede de um alvo por meio do mesmo ponto de entrada vulnerável.
Normalmente, os grupos criminosos competem por recursos, dificultando a operação simultânea de vários invasores. Os criptomineradores normalmente matam seus concorrentes no mesmo sistema, e os RATs de hoje geralmente destacam a morte de bots como um recurso em fóruns criminais. No entanto, no ataque envolvendo os três grupos de ransomware, por exemplo, BlackCat – o último grupo de ransomware no sistema – não apenas excluiu vestígios de sua própria atividade, mas também excluiu a atividade de LockBit e Hive.
Em outro caso, um sistema foi infectado pelo ransomware LockBit. Então, cerca de três meses depois, membros do Karakurt Team, um grupo com vínculos relatados com a Conti, conseguiram aproveitar o backdoor que o LockBit criou para roubar dados e mantê-los como resgate.
“No geral, os grupos de ransomware não parecem abertamente antagônicos uns aos outros. Na verdade, a LockBit explicitamente não proíbe afiliados de trabalhar com concorrentes, conforme indicado no whitepaper da Sophos”, disse Shier. “Não temos evidências de colaboração, mas é possível que isso se deva ao fato de os invasores reconhecerem que há um número finito de ‘recursos’ em um mercado cada vez mais competitivo. Ou talvez eles acreditem que quanto mais pressão for colocada em um alvo – ou seja, vários ataques – maior a probabilidade de as vítimas pagarem. Talvez eles estejam discutindo em alto nível, concordando com acordos mutuamente benéficos, por exemplo, onde um grupo criptografa os dados e o outro os exfiltra. Em algum momento, esses grupos terão que decidir como se sentem em relação à cooperação – se a abraçam ainda mais ou se tornam mais competitivos – mas, por enquanto,
A maioria das infecções iniciais para os ataques destacados no whitepaper ocorreu por meio de uma vulnerabilidade não corrigida, com algumas das mais notáveis sendo Log4Shell, ProxyLogon e ProxyShell, ou servidores Remote Desktop Protocol (RDP) não seguros e mal configurados .
Na maioria dos casos envolvendo vários invasores, as vítimas não conseguiram remediar o ataque inicial de forma eficaz, deixando a porta aberta para futuras atividades cibercriminosas. Nesses casos, as mesmas configurações incorretas de RDP, bem como aplicativos como RDWeb ou AnyDesk, tornaram-se um caminho facilmente explorável para ataques de acompanhamento. Na verdade, servidores RDP e VPN expostos são algumas das listagens mais populares vendidas na dark web.
“Conforme observado no último Active Adversary Playbook, em 2021 a Sophos começou a ver organizações sendo vítimas de vários ataques simultaneamente e indicou que essa pode ser uma tendência crescente”, disse Shier. “Embora o aumento de vários invasores ainda seja baseado em evidências anedóticas, a disponibilidade de sistemas exploráveis dá aos cibercriminosos uma ampla oportunidade de continuar nessa direção.”
FONTE: HELPNET SECURITY