EUA divulgam lista com quase 100 URLs de quadrilha de ransomware
Por Felipe Demartini • Editado por Claudio Yuge |
O governo dos Estados Unidos continua em sua ofensiva contra a gangue especializada em ransomware Conti, divulgando agora uma lista com quase 100 endereços usados pelo banco para disseminar pragas e realizar ataques de phishing. A ideia é que as organizações incluam as URLs em listas de bloqueio, assim como eventuais variações.
- 52 serviços essenciais dos EUA foram atacados por um único grupo de ransomware
- Grupos ligados à China teriam feito ciberataques contra 6 estados dos EUA
A lista foi publicada pela Agência de Cibersegurança e Infraestrutura do governo americano (CISA, em inglês) e faz parte de um trabalho conjunto com o FBI e o Serviço Secreto. De acordo com o relatório oficial, mais de 1.000 organizações de todo o mundo foram atacadas pela quadrilha, com o malware TrickBot e os beacons de acesso Cobalt Strike sendo as ferramentas mais utilizadas.
O relatório, claro, é focado nas empresas americanas, mas também cita ataques em pelo menos sete países como Canadá, Alemanha, Itália, Arábia Saudita e Reino Unido. Além disso, fala sobre uma quadrilha ainda em franca atividade, mesmo com o aumento do escrutínio de autoridades globais sobre o grupo e o recente vazamento de uma série de informações sobre o modo de operação do Conti e algumas de suas lideranças.
A exposição veio no último final de semana, depois de o bando se posicionar a favor da Rússia na guerra contra a Ucrânia. Um pesquisador em segurança do país invadido vazou todas as informações da quadrilha na internet, com códigos-fonte de ferramentas de intrusão e detalhes sobre as diferentes equipes de ataque. Mais do que isso, também vieram à tona centenas de registros de chats entre membros do grupo, empresas vitimadas pelos ataques de ransomware e representantes do governo russo, com direito até mesmo à combinação de ataques contra jornalistas.
Estranhamente, porém, a lista divulgada pelo governo dos Estados Unidos não inclui as dezenas de URL que foram divulgadas pelo pesquisador ucraniano, também como indicadores de comprometimento contra os ataques do Conti. Ainda assim, é uma representação de maior fechamento do cerco e, também, um alerta sobre a continuidade das operações de uma das quadrilhas mais perigosas do cenário atual.
Fonte: CISA