Quadrilhas de ransomware podem levar meses para atacar após invasão inicial

Uma gangue de ransomware levou nada menos do que cinco meses entre a intrusão inicial à rede de sua vítima e a efetiva detonação do ataque, com travamento e extração de arquivos. O caso aparece como um alerta para corporações quanto a novas técnicas cibercriminosas, principalmente no que toca a agilidade para explorar brechas de segurança e a permanência em sistemas comprometidos sem que a presença maliciosa seja notada.

• Criminosos levam 15 minutos para atacar após descoberta de falhas de segurança
• Segurança híbrida | Conceito une análise humana e IA para maior proteção

O caso relatado pela empresa de inteligência de ameaças S-RM teve a quadrilha Lorenz como protagonista, em golpe contra uma operadora de telefonia não identificada. O vetor de entrada foi uma brecha descoberta originalmente em abril de 2022 e com atualização aplicada pela vítima em julho; os criminosos entraram antes na rede e permaneceram lá, realizando o ataque somente em setembro do ano passado, se movendo lateralmente pela rede, roubando dados e travando sistemas em troca de resgate.

O exemplo é parte de um alerta maior dos especialistas, que traz uma declaração direta: apenas atualizar sistemas, mesmo que rapidamente, pode não ser suficiente. Caso uma intrusão aconteça antes, com instalação de backdoor, essa correção apenas impedirá novas intrusões, enquanto a ausência de plataformas de segurança e monitoramento, ou um uso insuficiente delas, permitiu que os criminosos estabelecessem persistência para realizar um golpe muito tempo depois.

Neste caso, a backdoor foi ocultada na forma de um ícone falso do Twitter, colocado em um diretório do sistema em meio a outros dados legítimos. O nome do arquivo trazia identificadores, enquanto o código em seu interior permaneceu dormente até a ativação pelos bandidos, que levaram 48 horas para finalizar o golpe de ransomware.

É um método que, também, dialoga com as novas facetas do cibercrime, pela qual bandidos podem trabalhar no fornecimento de intrusões e comprometimento inicial, vendendo essa porta de entrada para outros interessados em realizar os ataques efetivamente. É essa a hipótese relacionada a esse caso, com a ideia de que a Lorenz tenha, na realidade, adquirido o acesso a partir de um intermediário.

Enquanto a exigência de atualizações é uma constante, a ideia é que a estratégia de segurança não deva parar por aí. A recomendação é o uso de sistemas de monitoramento e análise de conexões, principalmente após a descoberta de uma brecha de segurança e no intervalo entre isso e a correção. Os administradores devem ter um olhar apurado quanto a comprometimentos que possam ter acontecido e manter um olhar atento a alterações de arquivos e conexões desconhecidas sendo realizadas em sistemas a partir de uma vulnerabilidade.

Fonte: S-RM