Golpe de ransomware leva menos de quatro horas para travar uma rede

Os ataques de ransomware altamente rápidos parecem estar se tornando uma preferência entre quadrilhas de criminosos, com um novo golpe levando menos de quatro horas para travar arquivos e pedir resgate para as vítimas. Trata-se de uma combinação entre uma praga de sequestro de arquivos e um trojan bancário, que contamina os dispositivos a partir do bom e velho e-mail de phishing, que permanece como um vetor importante de infecção.

• 5 dicas para empresas se protegerem de vazamentos de dados
• Em 2022, empresas irão gastar até US$ 172 bilhões em segurança digital

A análise é dos especialistas do The DFIR Report, que analisaram um golpe que levou apenas 3h44 entre a intrusão inicial e o travamento dos arquivos. Foi tempo suficiente para os criminosos realizarem uma análise da rede, se moverem lateralmente para máquinas infectadas disponíveis e soltar o ransomware Quantum, que travou os dispositivos e exibiu uma nota pedindo contato e valores em criptomoedas.

O vetor de entrada foi o malware IcedID, normalmente usado em ataques contra clientes de bancos internacionais. Ele, porém, tem uma estrutura modular, podendo servir também como carregador de outras pragas; a contaminação veio a partir de um e-mail de phishing corporativo, com um arquivo em formato ISO que escapou da detecção de softwares de segurança e, ao ser aberto, acabou abrindo as portas da máquina para a intrusão pelo Quantum.

Os detalhes técnicos não incluem a categoria da empresa atingida, mas mostram planejamento, com um golpe que aconteceu durante a madrugada, quando há menos funcionários de plantão e poucas mãos para realizarem um monitoramento da rede e mitigação de golpes em andamento. Os especialistas revelaram, em alerta, a linha do tempo do golpe, que começa com a instalação de beacons Cobalt Strike para recebimento de comandos e também ações para evadir sistemas automatizados de proteção.

Credenciais do Windows foram o primeiro foco, permitindo o acesso a máquinas virtuais desprotegidas com múltipla autenticação, enquanto uma varredura foi feita na rede em busca de novos alvos para movimentação lateral. Depois, vieram tentativas de conexão com servidores até que, com a infraestrutura mapeada, o ransomware Quantum foi copiado para cada uma das máquinas comprometidas, travando os arquivos e exibindo a nota de resgate.

Quantum ransomware tem ação rápida e usa pragas conhecidas

No caso analisado pelo The DFIR Report, não houve interesse em extração de dados, com a extorsão acontecendo, apenas, pelo travamento dos arquivos. As vítimas recebiam um link para um site seguro na rede Tor, com identificação única, onde poderiam contatar os criminosos e negociar os valores em criptomoedas para liberação dos dados — um prazo de 48 horas é dado para o contato inicial, caso contrário, a intrusão seria divulgada à imprensa e outros criminosos. Além disso, os bandidos prometem demonstrar, também, como a intrusão aconteceu, indicando pontos fracos e demais vias de acesso não autorizado.

Por outro lado, apuração do site Bleeping Computer aponta que esquemas de dupla extorsão já foram detectados por quadrilhas usando o Quantum, com valores que podem variar de US$ 150 mil até US$ 500 mil, de acordo com o nível de intrusão, das informações obtidas e o caráter da empresa comprometida. Por outro lado, as informações disponíveis apontam para golpes não tão frequentes, com poucos casos registrados por mês — ainda um perigo, claro, mas não tão grande quanto bandos mais ativos como LockBit e Conti, por exemplo.

Isso, também, tem a ver com o fato de estarmos falando de uma operação relativamente nova. Enquanto os ataques com a praga foram registrados a partir de agosto do ano passado, o Quantum é uma variação do ransomware MountLocker, que está ativo desde setembro de 2020 e já atendeu por nomes como AstroLocker e XingLocker. Enquanto isso, o malware bancário IcedID vem sendo encontrado em ataques há pelo menos cinco anos, ainda que o método de disseminação, usando arquivos ISO, seja recente.

Fonte: The DFIR Report, Bleeping Computer