Kaspersky Lab identifica grupos de ransomware focados em ataques contra empresas

Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras em todo o mundo e o infame grupo Mamba

Ilha de São Martinho, 12 de abril de 2017 – Pesquisadores da Kaspersky Lab descobriram uma tendência emergente e alarmante: cada vez mais criminosos cibernéticos estão migrando seu foco de ataques contra usuários privados para ataques de ransomware contra empresas. Foram identificados pelo menos oito grupos de cibercriminosos envolvidos no desenvolvimento e distribuição de ransomware de criptografia. Os ataques atingiram principalmente organizações financeiras em todo o mundo. Os especialistas da Kaspersky Lab encontraram casos em que as demandas de pagamento somaram mais de meio milhão de dólares.

Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras em todo o mundo; o infame grupo Mamba e seis grupos não identificados que também visam corporativos. É interessante notar que estes seis grupos foram anteriormente envolvidos em ataques dirigidos principalmente aos usuários privados e utilizando modelos de programas de afiliados. Agora, eles têm reorientado seus esforços em redes corporativas. De acordo com os pesquisadores da Kaspersky Lab, a razão para esta tendência é clara – os criminosos consideram ataques de ransomware dirigidos contra empresas potencialmente mais rentáveis do que ataques de massa contra usuários privados. Um ataque ransomware bem-sucedido contra uma empresa pode facilmente parar seus processos de negócios por horas ou mesmo dias, tornando os proprietários das empresas afetadas mais propensos a pagar o resgate.



Em geral, as táticas, técnicas e procedimentos utilizados por esses grupos são muito semelhantes. Eles infectam a organização alvo com malware através de servidores vulneráveis ou spear phishing de e-mails. Em seguida, eles estabelecem a persistência na rede da vítima e identificam os recursos corporativos valiosos para criptografar, exigindo posteriormente um resgate em troca de descriptografia. Além de suas semelhanças, alguns grupos têm suas próprias características únicas.

Por exemplo, o grupo Mamba usa seu próprio malware de criptografia, baseado no software de código aberto DiskCryptor. Uma vez que os atacantes ganham um ponto de apoio na rede, eles instalam o cifrador através dele, usando um utilitário legal para o controle remoto do Windows. Essa abordagem torna as ações menos suspeitas para os agentes de segurança da organização alvo. Pesquisadores da Kaspersky Lab encontraram casos em que o resgate ascendeu a um bitcoin (cerca de R$ 3.550 até o final de março de 2017) pela decifragem de um end-point.



Outro exemplo exclusivo de ferramentas usadas em ataques de ransomware dirigidos vem do PetrWrap. Este grupo destina-se principalmente a grandes empresas que possuem um grande número de nós de rede. Os criminosos cuidadosamente selecionam alvos para cada ataque, que pode durar algum tempo: PetrWrap tem sido persistente em uma rede de até 6 meses.

"Devemos todos estar cientes de que a ameaça de ataques de ransomware dirigido sobre as empresas está aumentando, trazendo perdas financeiras tangíveis. A tendência é alarmante já que os atores do ransomware começaram sua cruzada para vítimas novas e mais rentáveis. Há muitos mais potenciais alvos de ransomware ativos, com ataques resultando em consequências ainda mais desastrosas", disse Anton Ivanov, Pesquisador de Segurança Sênior, Anti-Ransom, Kaspersky Lab.

A fim de proteger as organizações de tais ataques, especialistas em segurança Kaspersky Lab aconselham o seguinte:

- Faça um backup adequado e pontual de seus dados para que ele possa ser usado para restaurar arquivos originais após um evento de perda de dados.

- Use uma solução de segurança com tecnologias de detecção baseadas em comportamento. Essas tecnologias podem capturar malware, incluindo ransomware, observando como ele opera no sistema atacado e tornando possível detectar amostras frescas e ainda desconhecidas de ransomware.

- Visite o site "No More Ransom", uma iniciativa conjunta com o objetivo de ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.
Faça uma auditoria nos softwares instalados, não só em pontos de extremidade, mas também em todos os nós e servidores na rede e os mantenha atualizado.

- Realize uma avaliação de segurança da rede de controle (como auditoria de segurança, testes de penetração, análise de lacunas) para identificar e remover quaisquer lacunas de segurança. Revise as políticas de segurança de fornecedores externos e de terceiros caso eles tenham acesso direto à rede de controle.

- Solicite inteligência externa: a inteligência de fornecedores respeitáveis ajuda as organizações a prever futuros ataques à empresa.

- Treine seus funcionários, prestando atenção especial as equipes operacionais e de engenharia, bem como seu conhecimento sobre recentes ameaças e ataques.

- Forneça proteção dentro e fora do perímetro. Uma estratégia de segurança adequada tem que dedicar recursos significativos para a detecção de ataque e resposta, a fim de bloquear um ataque antes que ele atinja objetos criticamente importantes.

Para saber mais sobre ataques Ransomware segmentados, leia a postagem do blog disponível em Securelist.com.

Por favor, verifique o NoRansom.kaspersky.com para ver as ferramentas que desenvolvemos para ajudar vítimas ransomware.