0
0
A principal escola de tecnologia de Israel, Technion Israel Institute of Technology (IIT), é vítima de um ataque de ransomware pelo grupo de hackers DarkBit, que exigiu um pagamento de 80 Bitcoins (cerca de US$ 1,7 milhão no momento desta publicação) em uma nota de resgate carregada de anti -Sentimentos de Israel.
A universidade relatou o ataque em 12 de fevereiro, um dia depois que o agente da ameaça compilou a carga útil, de acordo com um relatório da BlackBerry .
“Isso pode sugerir que o DarkBit manteve o acesso inicial à rede da vítima algum tempo antes disso, enquanto o implante foi compilado algumas horas antes do ataque se materializar”, diz Dmitry Bestuzhev, pesquisador de ameaças da BlackBerry.
A BlackBit também alertou o IIT que, se a organização não pagasse o resgate em 48 horas, o valor aumentaria 30%.
A extensão do dano, a origem da violação e o vetor de infecção inicial não foram divulgados publicamente.
O ransomware baseado em Golang possui vários recursos notáveis, como a capacidade de aceitar argumentos de linha de comando e funcionar de forma independente. Seu modo padrão envolve a criptografia do dispositivo da vítima, utilizando AES-256, afetando vários tipos de arquivo. Além disso, emprega o método de multithreading para garantir uma criptografia mais rápida e eficaz.
Bestuzhev disse a Dark Reading que, com base na nota de resgate, na conta do Twitter e no perfil do Telegram do agente da ameaça, o principal motivador do ataque é geopolítico, e não financeiro.
Um motivador adicional – vingança – foi indicado por meio de um tweet do DarkBit e do texto da nota de resgate, que alude à possibilidade de que um ex-funcionário de tecnologia vingativo possa estar aproveitando o conhecimento interno de ferramentas e software para realizar os ataques.
“Um conselho gentil para as empresas de alta tecnologia [sic]: De agora em diante, tenham mais cuidado quando decidirem demitir seus funcionários, especialmente [sic] os geeks. #DarkBit”, afirmou o tweet.
Embora a declaração possa ser uma pista falsa, vale a pena notar que ameaças internas — por exemplo, um funcionário zangado que foi demitido ou um trabalhador descontente tentando causar algum dano à empresa — são uma preocupação crescente para os profissionais de segurança .
Os comentários no Telegram, Twitter e no site DarkBit também exibem motivações hacktivistas contra Israel.
Bestuzhev diz que atingir uma universidade cria ruído e, como a geopolítica é a agenda, o objetivo é espalhar a mensagem.
“Com muitos alunos e associados que não podem estudar e trabalhar, serve como um amplificador de mensagens”, diz. “Do ponto de vista do atacante, é um grande alvo atingir o maior número de pessoas possível.”
Múltiplas motivações: política, financeira, pessoal
Melissa Bischoping, diretora de pesquisa de segurança de terminais da Tanium, concorda que esse ataque tem várias motivações – hacktivismo político, vingança e ganho financeiro.
“Quem quer que esteja por trás da DarkBit incluiu comentários em suas notas de resgate sobre suas posições sobre regimes políticos, bem como comentários sobre demissões e rescisões de funcionários técnicos”, diz ela. “Resta saber se este é um grupo totalmente novo ou uma ramificação de uma gangue anterior.”
Ela destaca que o ransomware é cada vez mais usado como arma na geopolítica , porque pode ser facilmente adquirido e implantado, e pode causar destruição de alto impacto rapidamente.
“Os operadores de ransomware não estão preocupados em não serem detectados”, diz Bischoping. “Na verdade, é exatamente o oposto – eles querem enviar uma mensagem, causar danos e ser pagos.”
Ela explica que as universidades podem ser alvos populares porque muitas vezes têm departamentos de TI com poucos funcionários e muitos endpoints para gerenciar e proteger, deixando várias aberturas para um compromisso.
“Não foi um ataque aleatório, pois as mídias sociais da DarkBit, bem como sua nota de resgate, indicam posições e motivos políticos claros contra o governo israelense e suas organizações associadas”, acrescenta ela.
Intenções obscuras podem mascarar algo pior
Darren Guccione, CEO e cofundador da Keeper Security, diz que é desaconselhável presumir que as únicas motivações de um agente de ameaça por trás de um ataque de ransomware ou qualquer outro tipo de ofensiva de malware são as que parecem óbvias ou são explicadas pelos próprios agentes de ameaça. .
“Embora o ransomware seja normalmente usado para receber pagamentos, também pode ser nada mais do que uma cortina de fumaça ou bônus de pagamento, pois os agentes da ameaça trabalham para comprometer o sistema ou a infraestrutura de TI de um alvo de outras maneiras”, diz ele.
“Independentemente das motivações aparentes ou verdadeiras do agente da ameaça por trás desse ataque, uma investigação completa deve ser feita para avaliar o escopo do ataque cibernético e remediar o dano”, diz Guccione.
Como acontece com todos os ataques de ransomware, ele desaconselha o pagamento do resgate para impedir futuros ataques de natureza semelhante.
“As organizações também devem considerar a implementação de uma arquitetura de confiança zero e conhecimento zero para mitigar os danos de qualquer ataque cibernético futuro”, diz Guccione.
FONTE: DARK READING