FBI alerta sobre ataque ransomware que afetou 30 empresas dos EUA em 2021

O FBI emitiu um alerta na segunda-feira (26) comunicando que o grupo criminosos Ranzy Locker foi o responsável por pelo menos 30 ataques que afetaram empresas de setores dos EUA como tecnologia, transporte e informação. 

• Firefox remove extensões maliciosas que já acumulavam mais de 455 mil downloads
• Empresas de criptomoedas são condenadas a pagar R$ 146 mil para vítima de golpe
• Cibercriminosos estão usando mais vulnerabilidades de dia zero, diz pesquisa

O alerta, emitido em conjunto com a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA), tem como objetivo informar corporações sobre o perigo do Ranzy Locker e demais agentes de sequestros virtuais (ransomware), além de mostrar como identificar tentativas de ataque desta ameaça.

O comunicado do FBI também afirma que o aviso de sequestro deixado pelos criminosos do Ranzy Locker tem semelhanças com os encontrados nos golpes feitos pelos agentes de ransomware AKO e ThunderX. Ambos os grupos sumiram há algum tempo, mas especulações indicam que se uniram para formar a ameaça alertada pelo órgão estadunidense em sua nota. 

Como o ataque ocorre

O FBI informa que grande parte das vítimas tiveram seus sistemas invadidos por meio de ataques de força-bruta, onde os criminisos tentam credenciais aleatórioas até conseguirem acesso. Outros métodos utilizados foram o abuso de vulnerabilidades do Microsoft Exchange e o uso de senhas roubadas em golpes de phishing.

Uma vez dentro da rede de suas vítimas, os operadores do Ranzy Locker roubam documentos antes de realizar a criptografia dos arquivos. Esses dados extraviados normalmente contém informações sensíveis como dados de clientes e registros financeiros, e são usados para convencer as vítimas a realizarem o pagamento do resgate, a partir de ameaças de vazamentos, configurando um ataque de "dupla-extorsão".

As vítimas são direcionadas para um site de pagamento em Tor, programa usado para comunicações 100% anônimas na internet, onde um chat é disponibilizado para negociação com os criminosos. Como parte da operação, os operadores do Ranzy Locker permitem que as pessoas afetadas liberem o acesso de três arquivos de graça, para provar que a restauração é real. Logo depois, eles exigem o pagamento do resgate. 

Se o pagamento não ocorrer, os documentos serão disponibilizados para o público no site Ranzy Leak, junto de informações de outras empresas que se recusaram a cumprir as demandas dos criminosos. 

Proteção

O Ranzy Locker é mais um exemplo de malware que está fazendo muitas vítimas pelo mundo. Porém, grande parte desses crimes virtuais podem ser impedidos com o uso de boas práticas de segurança.

Além disso, no começo de setembro, a CISA publicou um manual com instruções de como se prevenir dessas ameaças. Confira algumas das recomendações contidas no documento oficial a seguir: 

• Fazer backups de dados frequentes, mantendo-os em um ambiente offline protegido por criptografia;
• Criar um plano básico de cibersegurança para responder a incidentes, manter operações e se comunicar sobre as etapas que devem ser seguidas;
• Usar configurações adequadas de acesso remoto, conduzir análises frequentes em busca de vulnerabilidades e manter softwares atualizados;
• Assegurar que todos usam configurações de segurança recomendadas, desabilitando portas que não são usadas e protocolos como o SMB (Server Message Block) quando isso for possível;
• Práticas boas práticas de higiene cibernética: manter softwares antivírus e antimalware ativos e atualizados, limitar o uso de contas com acesso privilegiado e usar sempre soluções de acesso multifator quando possível.

Fonte: BleepingComputer