Gangue de ransomware pode travar uma rede completa em apenas 2 dias
Por Felipe Demartini • Editado por Claudio Yuge |
Comprometimentos rápidos e pagamentos ágeis são a métrica de atuação da FIN12, uma gangue de ransomware que está realizando ataques com travamentos de redes em apenas dois dias após o comprometimento inicial. Trata-se de uma mudança em relação ao modo de operação usual de quadrilhas assim, que podem permanecer nas redes durante meses antes de encontrarem o momento exato de atacar.
- Brasil é o 12º país mais atingido por vazamento de dados
- Vazamento de dados corporativos aumentou 78% em 2021; saiba como se proteger
Isso se deve ao fato de os bandidos não estarem interessados na usual operação de dupla extorsão que, normalmente, acompanha a encriptação dos sistemas das vítimas. De acordo com os especialistas da Mandiant, que liberaram relatório sobre a FIN12, a ideia aqui é agir rápido e maximizar o número de vítimas, sem roubo de dados ou obtenção de informações sigilosas que possam, mais tarde, também serem usadas para conseguir dinheiro.
Essa agilidade se traduz em incidentes, com a empresa de segurança falando que um em cada cinco ocorrências analisadas por ela nos últimos meses está relacionada à quadrilha. O tempo, também, é menos da metade da média usual de ataques de ransomware, com os criminosos, usualmente, passando cerca de cinco dias dentro das redes, se movendo lateralmente e coletando informações, antes de iniciarem o travamento dos dados.
Em vez disso, o foco da FIN12 está nos alvos fáceis, empresas de setores como saúde e serviços essenciais que precisam retomar rapidamente seus serviços e, assim, estão mais propensas a pagarem resgate. Eles também focam em aberturas mais simples, usando credenciais vazadas de acesso a ambientes remotos e brechas conhecidas, mas ainda não corrigidas, em sistemas de cloud computing da Microsoft como os principais vetores de entrada.
Gangue usa combinação de ransomwares
O bando usa o ransomware Ryuk na maior parte dos casos, após um curto reconhecimento inicial, para realizar o travamento dos dados. Operações combinadas também foram detectadas a partir de contaminações com backdoors como TrickBot e BazarLoader, indicando uma colaboração com outras quadrilhas que podem vender esses acessos em troca de uma porcentagem do resgate.
Enquanto empresas da América do Norte foram as mais atingidas pelos ataques até agora, a Mandiant aponta que isso pode mudar, justamente, pelo foco da quadrilha em ações rápidas e mais objetivas. Além disso, o aumento do combate das autoridades dos EUA contra o ransomware acaba tornando territórios da Europa, América do Sul e Ásia como mais interessantes para bandos desse tipo.
O alerta sobre a atuação da FIN12 aparece em meio a um relatório de tendências publicado nesta semana pela Mandiant. A ideia geral é que os ataques de ransomware devem continuar sendo a métrica, com um índice maior de ataques neste ano e, também, novos agentes no mercado de ameaças, principalmente no que toca o desenvolvimento de malware para sistemas Linux e golpes contra carteiras e serviços de NFT e criptomoedas.