.
Uma gangue prolífica de ransomware atingiu mais de 100 organizações em todo o mundo e reivindicou mais de US$ 60 milhões em pagamentos de resgate, alertou um alerta de segurança da CISA e do FBI.
O recém-lançado comunicado conjunto de segurança cibernética adverte que houve um aumento acentuado no número de organizações visadas pelo grupo de ransomware de Cuba e nos valores de resgate exigidos.
De acordo com o alerta, os ataques de ransomware a Cuba têm como alvo infraestrutura crítica, serviços financeiros, saúde, tecnologia da informação, serviços governamentais e muito mais. O alerta observa que, apesar do nome, a gangue do ransomware não tem nenhuma conexão com Cuba.
Em agosto de 2022 – a data mais recente para a qual as informações foram disponibilizadas – o FBI alerta que os invasores de ransomware comprometeram mais de 100 vítimas em todo o mundo e exigiram mais de US$ 145 milhões em pagamentos de resgate, recebendo US$ 60 milhões em demandas de extorsão.
O grupo se envolve em ataques de dupla extorsão, não apenas criptografando dados e exigindo resgate, mas também fazendo ameaças de liberar dados roubados da vítima caso o resgate – exigido em Bitcoin – não seja pago.
A assessoria conjunta da CISA e do FBI segue um aviso anterior sobre o ransomware Cuba em dezembro de 2021. O novo alerta foi emitido devido ao aumento do número de ataques e porque os cibercriminosos expandiram suas técnicas para tornar os ataques mais difíceis de detectar e, portanto, mais eficaz.
Também: Cibersegurança: essas são as novidades com as quais se preocupar em 2023
Esses métodos incluem a exploração de uma vulnerabilidade no driver CLFS (Common Log File System) do Windows (CVE-2022-24521) para roubar tokens do sistema e elevar privilégios, juntamente com o uso de um script do PowerShell para identificar contas de serviço para obter maior acesso ao sistema de alto nível controles.
Os ataques de ransomware a Cuba também foram vistos explorando Zerologon, uma vulnerabilidade no protocolo de autenticação Netlogon do Microsoft Windows (CVE-2020-1472) para obter privilégios administrativos de domínio. Zerologon foi descoberto em setembro de 2020 e foi citado como um “risco inaceitável” na época – mas, dois anos depois, os invasores ainda conseguem explorá-lo.
Conforme detalhado no alerta anterior, os métodos que o ransomware Cuba usa para obter acesso inicial às vítimas incluem a exploração de vulnerabilidades conhecidas em software comercial, campanhas de phishing, abuso de nomes de usuário e senhas roubados e exploração de aplicativos legítimos de protocolo de área de trabalho remota (RDP).
Depois de obter acesso, os criminosos cibernéticos implantam o Hancitor, uma carga útil de malware que permite que eles recuperem facilmente o acesso e realizem atividades em redes comprometidas – e que é usado para descartar e executar a carga útil do ransomware.
O FBI e a CISA fazem várias recomendações aos defensores da rede sobre mitigações de segurança cibernética que devem ser feitas para evitar que invasores possam usar técnicas comuns para entrar na rede e implantar ransomware.
A chave entre essas recomendações é manter todos os sistemas operacionais, software e firmware atualizados com as atualizações de segurança mais recentes – especialmente se for sabido que os cibercriminosos estão atacando ativamente vulnerabilidades como CVE-2022-24521 e CVE-2020-1472.
“A correção oportuna é uma das medidas mais eficientes e econômicas que uma organização pode adotar para minimizar sua exposição a ameaças de segurança cibernética”, disse o comunicado de segurança.
Também: Ainda não aprendemos a lição mais importante sobre segurança cibernética. Isso precisa mudar, rápido
Outras recomendações incluem exigir que todas as contas sejam protegidas com uma senha forte e exclusiva e garantir que, se possível, todas as contas – principalmente as de serviços em nuvem – sejam protegidas com autenticação multifator. Isso pode fazer muito para impedir que criminosos cibernéticos invadam contas.
Também é recomendado que as organizações tenham procedimentos para identificar, detectar e investigar atividades anormais na rede, algo que pode ser um indicador de que a rede foi violada e um ataque de ransomware pode estar a caminho – e medidas devem ser tomadas para previna-se.
As organizações também devem ter um plano de recuperação em vigor, garantindo que várias cópias dos principais sistemas e servidores estejam no local, atualizadas e armazenadas offline, para que, se o pior acontecer e um ataque de ransomware for bem-sucedido, a rede possa ser restaurada sem pagar um resgate.
Isso ocorre porque não há garantia de que pagar um resgate restaurará a rede – e ceder às exigências de extorsão apenas encorajará ainda mais os criminosos cibernéticos, que podem retornar com novos ataques e novas exigências de resgate.
“O FBI e a CISA não incentivam o pagamento de resgate, pois o pagamento não garante que os arquivos das vítimas sejam recuperados. Além disso, o pagamento também pode encorajar os adversários a visar organizações adicionais, encorajar outros criminosos a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas ”, disse o alerta – que também exorta as vítimas de ataques de ransomware a relatar incidentes.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
