Governos e multinacionais estão na mira de novos ransomware com foco em extorsão

O mundo do ransomware parece ter um novo nome de peso, com multinacionais, governos e empresas do setor de saúde na mira. O ransomware Pysa apresentou crescimento de mais de 50% no mês de novembro, com os criminosos focando não apenas no bloqueio e sequestro dos arquivos, mas também em técnicas de extorsão que envolvem buscar evidências de crimes entre os documentos comprometidos.

• As principais ameaças cibernéticas que atingiram o Brasil em 2021
• Retorno do Emotet acende alerta para novos ataques de ransomware

Com diferentes focos de ação, algo que agrada e muito os clientes de sistemas de ransomware como serviço, o Pysa acabou aparecendo na segunda colocação no ranking de ameaças mais presentes em novembro de 2021, atrás apenas da notória gangue russa Lockbit. Outro nome conhecido, o Conti, ficou para trás, enquanto o grupo REvil, apesar de trabalhar em uma retomada, ainda sofre com o baque em sua infraestrutura, resultado de uma ação policial sofrida no mesmo mês.

Os números são do grupo especializado em segurança digital NCC e também trazem uma perspectiva perigosa, com aumento de mais de 400% nos ataques usando Pysa contra organizações governamentais. Os especialistas também apontam que, apenas em novembro, os dados e volumes comprometidos de mais de 50 organizações foram vazados pela quadrilha.

Os dados apontam um total de 250 organizações atingidas apenas no mês de novembro, sendo 154 nos Estados Unidos e 96 na Europa. O setor industrial, em volume absoluto, teve o maior número de ocorrências, enquanto houve queda de 38% nos golpes contra corporações de tecnologia. Os pesquisadores também apontam um fato curioso: as informações vazadas em novembro pelos membros do Pysa são antigas, vindo à público semanas ou até meses depois da contaminação inicial.

A quadrilha está na mira do FBI desde março, mas a popularidade de outros grupos acabou permitindo que os criminosos agissem quase que livremente. Atendendo também como Mespinoza, o grupo usa técnicas de phishing para obter acesso a redes internas e segue um comportamento padrão de outros ataques de ransomware, podendo passar meses se movendo lateralmente pela infraestrutura e coletando informações antes de lançar o bloqueio dos arquivos.

Ransomware com e-mails para phishing

Enquanto foca suas energias no Pysa como o principal perigo neste começo de ano, os especialistas também chamam a atenção para uma segunda quadrilha, que se autointitula Grupo Everest. Aqui, o foco também é na contaminação por ransomware através de e-mails de phishing, mas a dupla extorsão acontece não apenas pela divulgação dos dados mas, também, pelo sigilo de portas abertas aos sistemas internos das companhias.

A ideia é que o período de movimentação lateral, que pode levar meses antes de uma detonação de ransomware, também seja monetizado, com interessados em espionagem industrial ou diplomática podendo comprar acesso e documentos obtidos pelos criminosos. O NCC aponta ocorrências desse tipo de crime durante o mês de novembro e aponta que essa alternativa, se lucrativa, pode se tornar mais uma tendência de ameaça 2022 adentro.

Fonte: NCC Group