Publicidade

Nova versão de ransomware conhecido mira infraestrutura em ataques rápidos

Por| Editado por Claudio Yuge | 28 de Dezembro de 2022 às 07h30

Link copiado!

Kahll/Pixabay
Kahll/Pixabay

Uma nova versão do conhecido ransomware Agenda tem as empresas de infraestrutura como foco principal de ataques rápidos que travam arquivos de forma intermitente. A variante é programada em Rust, uma linguagem que vem sendo cada vez mais adotada pelos cibercriminosos, principalmente aqueles envolvidos em operações nas quais a praga é vendida como serviço aos interessados em realizar as ofensivas.

O grupo Qilin, responsável pelo Agenda, segue os passos de outros grandes nomes do setor, como Hive e BlackCat, na adoção da linguagem. A Rust facilita o desenvolvimento de pragas multiplataforma, que podem ser vendidas a interessado em atacar servidores Linux e Windows; se antes o alvo das ferramentas maliciosas eram os setores de saúde e educação, agora estão na mira as empresas industriais e de tecnologia, principalmente as que lidam com sistemas e produtos essenciais.

O alerta dos especialistas em segurança da Trend Micro também aponta para uma operação mais globalizada. Antes, as variantes mais comuns do Agenda, programadas em Go, realizavam ataques direcionados contra empresas, principalmente, da Tailândia e Indonésia; agora, elas são de diferentes países sem alvo claro. Os ataques, além de investirem no travamento intermitente de arquivos, também são focados no roubo de informações confidenciais e na dupla extorsão, com o pagamento sendo exigido para liberação dos arquivos e também pelo não-vazamento do que foi obtido.

Continua após a publicidade

Esse segundo aspecto também vem sendo adotado com mais frequência pelos cibercriminosos, principalmente como forma de burlar sistemas de segurança e monitoramento. Em vez de criptografar completamente os arquivos, esse trabalho é feito de forma a atingir apenas o mínimo necessário para que eles sejam corrompidos, ainda impossibilitando uma recuperação direta ao mesmo tempo em que se reduz o tempo de processamento necessário durante a ofensiva.

A nota de resgate é deixada em cada diretório travado pelos bandidos, com direcionamento das vítimas para um chat na dark web, onde as negociações de resgate e liberação acontecem. O pedido, claro, é de pagamento em criptomoedas, enquanto os valores podem variar de acordo com o caráter e tamanho da companhia atingida; a estimativa da Trend Micro é de um total de US$ 550 milhões (cerca de R$ 2,9 bilhões) em faturamento.

Indicadores de comprometimento e detalhes técnicos foram publicados pela Trend Micro em sua análise da nova variante. O alerta acompanha indicações de segurança, como o uso de sistemas de monitoramento de ameaças e visibilidade de sistemas, principalmente com detecção de comportamentos estranhos que indiquem uma contaminação por ransomware. A ameaça não vai a lugar nenhum, pelo contrário, continua sendo aperfeiçoada cada vez mais, com os especialistas indicando a tomada de medidas de controle e recuperação como o melhor caminho para proteção.

Continua após a publicidade

Fonte: Trend Micro