Uma investigação da Sophos revela que há um novo tipo de ransomware com uma abordagem fora do comum. Ao contrário da maioria dos softwares maliciosos do seu género, o ransomware Memento não encripta diretamente os ficheiros das vítimas, optando antes por copiá-los para arquivos protegidos por uma palavra-passe. A password é depois encriptada e os ficheiros originais são apagados.

De acordo com os especialistas, que se depararam com o software malicioso em outubro, os atacantes tentaram encriptar diretamente os ficheiros das vítimas numa fase inicial. Ao verificarem que o plano inicial não tinha funciona como esperado, o grupo de cibercriminosos mudou a sua estratégia.

Ao que tudo indica, os agentes por trás do ransomware acederam à rede de uma organização, a sua primeira vítima, em meados de abril deste ano, tirando partido de uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação na Cloud, para se infiltrarem no servidor. A intrusão principal terá começado em maio.

Como é que o “buraco negro” do ransomware vai abalar o panorama da cibersegurança em 2022?
Como é que o “buraco negro” do ransomware vai abalar o panorama da cibersegurança em 2022?
Ver artigo

Durante os primeiros meses, os cibercriminosos aproveitaram para realizar uma série de atividades de reconhecimento para estabelecerem uma ligação interativa com o servidor comprometido, usando ainda a ferramenta Mimikatz para recolher credenciais de contas.

A 20 de outubro, o grupo de hackers utilizou a ferramenta legítima WinRAR para comprimir um conjunto de ficheiros, exfiltrando-os através do Remote Desktop Protocol. Três dias depois, lançaram o ataque pela primeira vez.

As medidas de segurança do sistema onde se infiltraram acabaram por bloquear as suas tentativas para encriptar os ficheiros. Depois de mudarem a sua estratégia, exigiram um resgate de 1 milhão de dólares em Bitcoin. No entanto, a vítima foi capaz de recuperar os seus dados sem ser necessário envolver os atacantes.

Sophos | Memento | Esquema de ataque
créditos: Sophos

A Sophos indica que, à medida que os atacantes responsáveis pelo Memento se embrenhavam na rede da vítima, outros dois cibercriminosos aproveitaram a “porta aberta”. Cada um deles deixou cryptominers no mesmo serviço comprometido.

“Já assistimos a este fenómeno diversas vezes: quando as vulnerabilidades voltadas para a internet se tornam públicas e não são corrigidas, vários atacantes vão tirar partido delas com rapidez. Quanto mais tempo as vulnerabilidades ficarem por resolver, mais atacantes atrairão,” explica Sean Gallagher, Senior Threat Researcher da Sophos.

“Os cibercriminosos estão constantemente a analisar a Internet para encontrar pontos de entrada vulneráveis e não ficam à espera na fila quando encontram um. Ser atingido por diversos atacantes agrava a disrupção e o tempo de recuperação, e também dificulta que os investigadores forenses possam atuar e perceber quem fez o quê: uma informação importante para que os especialistas em resposta a ameaças consigam ajudar as organizações a prevenir a repetição dos ataques.”

O que podem fazer as organizações para se protegerem?

A nível estratégico, a Sophos começa por recomendar às organizações que implementem proteção por camadas para bloquear e detetar atacantes no maior número possível de pontos de acesso de uma rede.A combinação entre especialistas humanos e tecnologia anti-ransomware é também essencial.

Superar um ataque de ransomware é como recuperar da destruição de um incêndio: A realidade das vítimas
Superar um ataque de ransomware é como recuperar da destruição de um incêndio: A realidade das vítimas
Ver artigo

Já a nível tático no quotidiano, a empresa de cibersegurança indica que é importante monitorizar e dar resposta a alertas, garantindo que as ferramentas, processos e recursos humanos estão prontas a cumprir a sua função. À implementação de palavras-passe fortes, únicas e complexas, que nunca deverão ser reutilizadas, junta-se também a utilização de Autenticação Multifator (MFA).

Os especialistas detalham que se um dispositivo precisa de estar acessível através de uma ferramenta de gestão remota, esta deve ser colocada sob proteção de uma rede virtual privada (VPN) ou uma solução de acesso à rede zero-trust, que utilize a MFA como parte do login. Os servidores críticos devem ser separados entre si, colocando-os em VLANs separadas à medida que se trabalha para um modelo de rede zero-trust.

Entre as medidas recomendadas encontram-se também a realização de cópias de backup offline da informação e das aplicações, de inventário de ativos e contas, assim como garantir que todos os sistemas e dispositivos estão corretamente configurados e atualizados.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.