O FBI alertou sobre uma nova tendência em ataques de ransomware onde múltiplas variantes são implantadas nas redes das vítimas para criptografar sistemas em menos de dois dias.
O aviso do FBI vem na forma de uma Notificação da Indústria Privada, motivada por tendências observadas a partir de julho de 2023.
A agência federal de aplicação da lei explica que afiliados e operadores de ransomware foram observados utilizando duas variantes distintas ao alvo das organizações vítimas.
Variantes usadas nesses ataques duplos de ransomware incluem AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum e Royal.
"Esse uso de variantes duplas de ransomware resultou em uma combinação de criptografia de dados, exfiltração e perdas financeiras por pagamentos de resgate", disse o FBI.
"Ataques secundários de ransomware contra um sistema já comprometido podem causar danos significativos às entidades vítimas."
Em contraste com o passado, quando grupos de ransomware geralmente requeriam um mínimo de 10 dias para executar tais ataques, agora a grande maioria dos incidentes de ransomware visando a mesma vítima ocorrem num prazo de apenas 48 horas um do outro, de acordo com dados do FBI.
Bill Siegel, CEO e cofundador da Coveware, também contou ao BleepingComputer que a dupla criptografia tem sido uma prática há anos, com algumas empresas enfrentando re-extorsões, já que o ator da ameaça não fornece decryptors para ambos os ataques de ransomware.
"Há alguns grupos de autores de ameaças que intencionalmente usam duas variantes diferentes em cada ataque.
Por exemplo, normalmente vemos MedusaLocker e Globemposter usados ao mesmo tempo pelo mesmo autor de ameaça em uma única vítima", disse Siegel.
"Casos em que o corretor de acesso inicial vende o acesso à rede para dois afiliados de ransomware diferentes que usam marcas diferentes de ransomware.
Ambos os afiliados estão então na rede, afetando máquinas em proximidade de tempo próximo uma à outra."
Além disso, o FBI diz que a partir de início de 2022, vários grupos de ransomware começaram a adicionar novos códigos às suas ferramentas personalizadas de roubo de dados, wipers e malware para evadir a detecção.
Em outros incidentes, malwares contendo funcionalidade de limpeza de dados foram configurados para permanecer dormentes em sistemas comprometidos até um momento pré-determinado.
Nesse ponto, eles seriam executados para destruir dados em redes alvo em intervalos periódicos.
Num desses ataques que começou no ano passado, em abril, um fornecedor automotivo foi violado três vezes por afiliados de LockBit, Hive e ALPHV/BlackCat em apenas dois meses, de acordo com os respondentes de incidentes da Sophos X-Ops.
Enquanto a organização vítima estava ocupada restaurando sistemas criptografados com o ransomware LockBit e Hive após a primeira violação, um afiliado de ALPHV/BlackCat se conectou a dispositivos previamente comprometidos para roubar dados e - mais uma vez - bloquear arquivos com seu próprio criptografador.
Para piorar as coisas, os respondentes do incidente descobriram que alguns dos arquivos da vítima haviam sido criptografados até cinco vezes.
"Porque o ataque da Hive começou 2 horas após o Lockbit, o ransomware Lockbit ainda estava rodando - então ambos os grupos continuaram a encontrar arquivos sem a extensão que indica que eles estavam criptografados", disse a equipe da Sophos.
O FBI aconselha as organizações a manter conexões próximas com os Escritórios de Campo do FBI em sua região.
Esses relacionamentos permitirão ao FBI auxiliar na identificação de vulnerabilidades e na mitigação de possíveis atividades relacionadas a ameaças.
Os defensores de redes também são aconselhados a aplicar medidas de mitigação incluídas na Notificação da Indústria Privada do FBI publicada na quinta-feira para limitar o uso dos atacantes de técnicas comuns de descoberta de sistema e rede e reduzir o risco de ataques de ransomware.
Eles são incentivados a manter todos os sistemas atualizados e realizar varreduras completas em suas infraestruturas para identificar possíveis backdoors ou vulnerabilidades introduzidas pelos invasores como medidas de segurança que permitiriam a eles retomar o acesso à rede se o acesso deles for bloqueado.
Os defensores também devem proteger serviços como VNC, RDP e outras soluções de acesso remoto acessíveis a partir de fontes externas.
O acesso deve ser restrito apenas através de VPN e concedido exclusivamente a contas com senhas fortes e autenticação multifator (MFA) obrigatória.
Outra prática recomendada inclui a segmentação de rede, onde servidores críticos são isolados dentro de VLANs para aumentar a segurança.
Além disso, realizar varreduras e auditorias abrangentes em toda a rede é crucial para identificar dispositivos vulneráveis à exploração devido à falta de patches necessários.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...