A Sophos alertou para um ataque consecutivo realizado à mesma empresa por três grupos diferentes de ransomware: Hive, LockBit e BlackCat. A empresa recebeu três notas de ransomware diferentes para ficheiros com encriptação tripla.
Os dois primeiros ataques aconteceram num espaço de duas horas enquanto o terceiro ataque ocorreu duas semanas mais tarde. As conclusões do ataque foram divulgadas no whitepaper da Sophos X-Ops Active Adversary – “Multiple Attackers: A Clear and Present Danger“.
Três notas de resgate de ransomware enviadas à mesma empresa
“Já é suficientemente mau receber uma nota de ransomware, quanto mais três,” comentou John Shier, Senior Security Advisor da Sophos. “Os atacantes múltiplos criam todo um novo nível de complexidade quanto à recuperação, particularmente quando os ficheiros de rede são encriptados triplamente. Uma cibersegurança que inclua prevenção, deteção e resposta é essencial para as organizações de qualquer dimensão e natureza – nenhuma está imune.”
Com os ataques informáticos de diversos tipos a aumentarem a cada dia que passa, as empresas têm de estar cada vez mais atentas a possíveis falhas de segurança nos seus sistemas e no modelo recentemente adotado em grande escala do trabalho remoto.
Com mais pessoas a trabalhar por casa, as equipas de IT viram-se com diversos problemas em manter ou aumentar os níveis de segurança existentes nas empresas de forma a prevenir ataques por ransomware, phishing, etc.
O whitepaper detalha casos adicionais de “sobreposição” de ciberataques, incluindo cryptominers, trojans de acesso remoto (RATs, na sua sigla em inglês) e bots. No passado, em situações em que os atacantes múltiplos apontaram a um mesmo sistema, os ataques ocorreram geralmente ao longo de muitos meses ou até anos.
A maior preocupação com este caso em concreto prende-se no facto de estes ataques descritos no novo whitepaper da Sophos foram lançados num espaço de dias ou semanas – e, num dos casos, em simultâneo –, muitas vezes com atacantes diferentes a aceder à rede da vítima através do mesmo ponto de entrada vulnerável.
Por norma, os grupos de criminosos competem entre si para conseguirem aceder a recursos, dificultando a existência de ataques múltiplos. No entanto, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat, o último a entrar no sistema, não apenas apagou os vestígios da sua atividade, como também da atividade do LockBit e do Hive.
Noutro caso, um sistema foi infetado por ransomware LockBit. Cerca de três meses mais tarde, membros da Karakurt Team, um grupo com ligações à Conti, pôde tirar partido da backdoor criada pelo LockBit para roubar dados e pedir um resgate por eles.
“Não temos provas de colaboração, mas é possível que ela aconteça, se os atacantes perceberem que o volume de ‘recursos’ é finito num mercado cada vez mais competitivo”, comenta Shier, concluindo que “em algum momento, estes grupos terão de decidir a sua posição quanto à colaboração – se devem adotá-la mais ou tornar-se mais competitivos – mas, por agora, o campo de ação está aberto para múltiplos ataques por diferentes grupos.”
