A Sophos, especialista de segurança de redes e endpoints, identificou a publicação de dados roubados às organizações com o recurso do ramsonware Conti. Nos últimos seis meses detetou que pelo menos 180 organizações foram vítimas de uma técnica apelidada de “dupla extorsão”. Este tipo de ramsonware é o sucessor do conhecido Ryuk, atuando ao encriptar dados confidenciais das empresas, extorquindo as vítimas através da sua divulgação.

A empresa explica que este ataque é executado de forma manual pelos cibercriminosos, aplicando as técnicas de dupla extorsão. Depois de roubarem e encriptarem os dados dos seus alvos, fazem ameaças de publicação dos mesmos no website Conti News, caso a empresa não pague o respetivo resgate. Este tipo de ameaça afeta sobretudo empresas da Europa Ocidental e América do Norte.

De recordar que a CD Projekt foi recentemente vítima de um ataque de ramsonware, tendo sido roubado e partilhado o seu código-fonte utilizado em jogos como Cyberpunk 2077 e The Witcher. Os dados chegaram a estar à venda no mercado negro por valores de até 7 milhões de euros.

A Sophos refere que contruiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. “Embora este tipo de ataque possa dirigir-se a qualquer sector, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública” salienta no comunicado.

Explica ainda que no último ataque de ransomware Conti identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A respetiva equipa de TI da empresa detetou e desativou um dos servidores, pensando estar a impedir o ataque. No entanto, os cibercriminosos de servidor e continuaram a partir deste segundo. E isto acontece quando os ataques são feitos manualmente por humanos, que têm sempre um plano B como neste caso. “Serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”, explica a especialista em segurança.

Considerando a experiência da Sophos a detetar e lidar com este tipo de ameaças, a empresa criou uma lista de ações para ajudar os TI a responder a um ataque de ransomware:

1 – Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.

2 - Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.

3 - Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.

4 - Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.