Praga se disfarça de ransomware para destruir arquivos das vítimas

Um malware capaz de apagar arquivos dos computadores de suas vítimas, enquanto se disfarça de um ransomware tradicional, é a principal arma de um grupo cibercriminoso recém-descoberto por especialistas em segurança. O Apostle, como foi chamado, está sendo utilizado como parte da guerra digital no Oriente Médio, principalmente contra alvos israelenses.

• Nos EUA, FBI alerta para ataque de ransomware contra serviços de saúde
• Discord está se tornando uma nova arma para os criminosos, aponta especialista
• Ataques de força bruta a serviços remotos aumentaram em 704% na América Latina

De acordo com os pesquisadores da SentinelOne, empresa de segurança digital responsável pela descoberta da praga, os responsáveis também seriam parte de um grupo desconhecido até então, o Agrius, que trabalharia a serviço do governo iraniano. Além de vítimas em Israel, o Apostle também teria contaminado os sistemas de uma empresa de infraestrutura dos Emirados Árabes Unidos.

Por trás de tudo, também, está uma história curiosa. De acordo com os especialistas responsáveis pela descoberta do malware, ele começou sua história em 2019 como uma praga voltada, apenas, para apagar arquivos, mas que não funcionava devido a problemas no código. Utilizando o desenvolvimento disponível para uma outra ameaça do mesmo tipo, o Deadwood, os criminosos foram capazes de aprimorar o código do Apostle, dando a ele as capacidades de destruir dados e, também, o disfarce de ransomware que está sendo utilizado agora.

A ideia, segundo a SentinelOne, seria de atingir os alvos de forma dupla, tanto apagando arquivos de forma irrecuperável quanto obtendo ganhos financeiros de instituições que decidam pagar o resgate. Os pesquisadores citam, ainda, uma praga capaz de se movimentar lateralmente pelas redes contaminadas, de forma a aumentar a superfície antes de um ataque, e que se comunica com um servidor de controle de onde podem vir instruções, atualizações e códigos executáveis.

Os especialistas apontam, ainda, que os apagadores de arquivos são uma arma comum da ciberguerra iraniana. Desde 2012, criminosos a serviço do país usam pragas desse tipo para atacarem alvos em países do Oriente Médio, principalmente, com a maioria dos casos registrados na Arábia Saudita. Além disso, para a SentinelOne, essa é uma demonstração de um ecossistema que se retroalimenta, com grupos de finalidade política aprendendo táticas usadas por bandidos focados no ganho financeiro, e vice-versa, com ataques cada vez mais sofisticados que exigem atenção das empresas e órgãos oficiais.

Da mesma maneira, seguem consistentes os vetores de infecção, com alvos direcionados sendo selecionados e atingidos por tentativas de contaminação envolvendo engenharia social. Além disso, como citado, há movimento lateral antes de uma ação efetiva, o que torna mais importante, principalmente para as empresas com afiliação israelense, o cuidado com e-mails em nome de funcionários, dirigentes ou parceiros comerciais, além de tentativas de intrusão usando credenciais furtadas ou brechas de segurança. Monitorar a rede e usar plataformas de inteligência de ameaça estão entre as medidas de mitigação recomendadas.

Fonte: SentinelOne