Uma tática ainda mais devastadora vem sendo aplicada por gangues de ransomware. Em vez de sequestrarem os arquivos e exigirem resgate para devolução, os cibercriminosos estão começando a corromper os dados enviados a servidores próprios, reduzindo o tempo necessário para ataque e aumentando a possibilidade de pagamento, já que uma recuperação não é possível de outra maneira.
A ideia seria combater diferentes frentes de detecção e mitigação de ataques, além de aumentar os ganhos para os próprios criminosos. Basicamente, durante um ataque, cada informação enviada ao servidor remoto usado pelos bandidos é corrompida no dispositivo da vítima a partir de alterações cruzadas: um segmento do segundo arquivo, por exemplo, é lido e sobrescrito sobre o começo do primeiro, o tornando ilegível, e assim sucessivamente até o fim do golpe.
Dessa forma, seria possível escapar da detecção heurística por softwares de segurança, que detectam o comportamento dos ransomwares.
Além disso, bugs na implementação das ferramentas de travamento, que poderiam permitir recuperação, também são evitados, enquanto as quadrilhas realizadores dos ataques ficariam com uma parcela maior dos ganhos, não tendo de os dividir com os desenvolvedores de encriptadores.
Como as novas ações dos grupos de ransomware foram detectadas?
O comportamento foi detectado por especialistas em segurança cibernética em golpes associados ao grupo de ransomware BlackMatter. O primeiro caso foi analisado mais de perto e indica uma mudança ainda em andamento pelo bando, com ferramentas de destruição de dados que parecem estar em fase de testes e ainda não funcionam da maneira correta, além de não conter mecanismos para evitar que os mesmos arquivos sejam destruídos sucessivamente.
Seria, também, uma forma de ampliar o terror envolvendo um ataque de ransomware, aumentando a possibilidade de um pagamento rápido para devolução dos arquivos, diante da catástrofe.
Para alguns especialistas, seria um retorno ao modelo antigo de ataques, em que os ganhos não precisam mais ser compartilhados e os operadores realizam ataques do início ao fim, sendo responsáveis desde a entrega de malware até a negociação, recebimento de valores e devolução dos arquivos.
Trata-se de um tipo de exploração ainda incipiente, mas que levanta alertas em uma economia de ransomware cada vez mais segmentada e profissionalizada. Diante de vazamentos de códigos-fonte, bugs e demais devolutivas aos encriptadores usados pelas quadrilhas, muitas delas estão alterando seus métodos para tentar sair à frente das outras, com um resultado cada vez mais danoso para as corporações.
Sobre a Brasiline
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Resumo de Ransomware - KageNoHitobito e DoNex
Principais descobertas do Relatório de Segurança na Nuvem de 2024
