Grupos de ransomware Hive, LockBit e BlackCat atacam a mesma rede consecutivamente

A Sophos alertou para um ataque consecutivo realizado à mesma empresa por três grupos diferentes de ransomware: Hive, LockBit e BlackCat. A empresa recebeu três notas de ransomware diferentes para ficheiros com encriptação tripla.

Os dois primeiros ataques aconteceram num espaço de duas horas enquanto o terceiro ataque ocorreu duas semanas mais tarde. As conclusões do ataque foram divulgadas no whitepaper da Sophos X-Ops Active Adversary – “Multiple Attackers: A Clear and Present Danger“.

Hacker PC Virus Ataque Ransomware Nobelium ciberataques
Publicidade

Três notas de resgate de ransomware enviadas à mesma empresa

“Já é suficientemente mau receber uma nota de ransomware, quanto mais três,” comentou John Shier, Senior Security Advisor da Sophos. “Os atacantes múltiplos criam todo um novo nível de complexidade quanto à recuperação, particularmente quando os ficheiros de rede são encriptados triplamente. Uma cibersegurança que inclua prevenção, deteção e resposta é essencial para as organizações de qualquer dimensão e natureza – nenhuma está imune.”

login senha malware pc mac hacker ransomware

Com os ataques informáticos de diversos tipos a aumentarem a cada dia que passa, as empresas têm de estar cada vez mais atentas a possíveis falhas de segurança nos seus sistemas e no modelo recentemente adotado em grande escala do trabalho remoto.

Com mais pessoas a trabalhar por casa, as equipas de IT viram-se com diversos problemas em manter ou aumentar os níveis de segurança existentes nas empresas de forma a prevenir ataques por ransomware, phishing, etc.

O whitepaper detalha casos adicionais de “sobreposição” de ciberataques, incluindo cryptominers, trojans de acesso remoto (RATs, na sua sigla em inglês) e bots. No passado, em situações em que os atacantes múltiplos apontaram a um mesmo sistema, os ataques ocorreram geralmente ao longo de muitos meses ou até anos.

pc computador laptop business empresa digital

A maior preocupação com este caso em concreto prende-se no facto de estes ataques descritos no novo whitepaper da Sophos foram lançados num espaço de dias ou semanas – e, num dos casos, em simultâneo –, muitas vezes com atacantes diferentes a aceder à rede da vítima através do mesmo ponto de entrada vulnerável.

Por norma, os grupos de criminosos competem entre si para conseguirem aceder a recursos, dificultando a existência de ataques múltiplos. No entanto, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat, o último a entrar no sistema, não apenas apagou os vestígios da sua atividade, como também da atividade do LockBit e do Hive.

Hacker PC Virus Ataque Ransomware REvil tshirt code ddos

Noutro caso, um sistema foi infetado por ransomware LockBit. Cerca de três meses mais tarde, membros da Karakurt Team, um grupo com ligações à Conti, pôde tirar partido da backdoor criada pelo LockBit para roubar dados e pedir um resgate por eles.

“Não temos provas de colaboração, mas é possível que ela aconteça, se os atacantes perceberem que o volume de ‘recursos’ é finito num mercado cada vez mais competitivo”, comenta Shier, concluindo que “em algum momento, estes grupos terão de decidir a sua posição quanto à colaboração – se devem adotá-la mais ou tornar-se mais competitivos – mas, por agora, o campo de ação está aberto para múltiplos ataques por diferentes grupos.”

minibanner thunderx3

Partilhe este artigo

Techbit
RECEBA AS PRINCIPAIS NOTÍCIAS TECNOLÓGICAS NO SEU EMAIL
Invalid email address
Prometemos não fazer spam e enviar apenas os conteúdos essenciais

Deixe um comentário

Publicidade
Blogarama - Blog Directory