This post is also available in: Português
Pesquisadores rastreiam fundos em 61 carteiras de criptomoedas. Valor é oriundo do pagamento de resgates cobrados para devolver o acesso aos sistemas das vítimas.
Quando se fala que o “mercado” do cibercrime é milionário, não é uma figura de linguagem. De fato, é tão rico que uma única gangue de ransomware pode atingir tal status. É o caso da equipe por trás do Ryuk, um dos mais perigosos da atualidade.
Os pesquisadores da empresa de segurança HYAS dizem que as carteiras de criptomoedas usadas pelos operadores do Ryuk e as afiliadas detêm mais de US$ 150 milhões. Foram identificados 61 endereços de bitcoin usados para receber pagamentos de ransomware das vítimas.
Duas das trocas de bitcoins que o grupo utiliza para transferir fundos são Huobi e Binance, com sede na Ásia. Porém, o grupo também usa meios menos conhecidos. Assim, Huobi e Binance são parte de uma rede clandestina que ajuda a converter bitcoins obtidos ilegalmente – e outras moedas virtuais – em dinheiro, driblando o combate à lavagem de dinheiro.
Como funciona
O Ryuk recebe uma quantia significativa de seus pagamentos de resgate através de um corretor conhecido, que faz pagamentos em nome das vítimas. Após rastrear as transações de bitcoin para os endereços conhecidos atribuíveis ao Ryuk, os autores da pesquisa estimam que o empreendimento criminoso pode valer mais de US$ 150 milhões.
Os operadores do ransomware visam sistemas corporativos de grande escala, bem como agências governamentais locais e estaduais. Um relatório de 2020 da Coveware, companhia de resposta a incidentes de segurança digital, descobriu que a gangue Ryuk e suas afiliadas começaram a dobrar seus pedidos de resgate, com um pagamento médio de US$ 780 mil das vítimas.
Mas como encontrar quem possa pagar tanto? Já existe resposta para essa pergunta. Eles utilizam um malware precursor, que é implantado pelo grupo como um ataque de primeira fase, que analisa as capacidades de pagamento de resgate de suas vítimas. É como um espião que não tem a intenção de atacar, mas quer capturar todo tipo de informação para levar a quem de fato vai invadir.
Evoluções
Não existe apenas um malware precursor que a gangue Ryuk usa. A lista de nomes inclui Emotet, Zloader e, entre outros, o Qakbot. Os operadores de Ryuk também têm usado o botnet Trickbot. Alguns analistas de segurança, no entanto, notaram que eles podem estar à procura de alternativas ao Trickbot. Isso porque a Microsoft lançou uma campanha para desmantelar sua infraestrutura no ano passado.
Eles agiram rápido. Já em outubro, a empresa de segurança Sophos descobriu que o grupo Ryuk estava contando com uma ferramenta de malware como serviço – o carregador Buer – para entregar o malware, no lugar de botnets como Trickbot e Emotet. A tendência é que continuem procurando alternativas para manter o empreendimento milionário.
Dá para escapar?
Existem algumas ações que ajudam a manter o Ryuk longe, ou com menor possibilidade de entrar sem autorização na rede de uma empresa. Conheça algumas:
– Restrinja a execução de macros do Microsoft Office. A ideia é evitar que macros maliciosas sejam executadas em seu ambiente.
– Certifique-se de que todos os pontos de acesso remotos estejam atualizados, com as definições mais recentes de segurança.
– Habilite a autenticação de dois fatores, procurando também cadastrar senhas fortes – com dez ou mais dígitos, mesclando números, letras maiúsculas, minúsculas e caracteres especiais.
– Limite o uso de ferramentas de acesso remoto, como Citrix e Microsoft Remote Desktop Protocol, para ajudar a reduzir a exposição a uma lista específica de endereços IP.
O fato de o ransomware Ryuk mirar empresas com faturamento superior a US$ 1 milhão não elimina a existência de concorrentes que busquem atacar empresas menores. Pelo contrário; em um nicho dominado por um gigante, são imensas as chances de os novos ransomwares nascerem visando atacar empresas de pequeno e médio porte. Podem até querer focar grandes multinacionais, mas antes passarão alguns anos atingindo alvos menores. É assim que unirão fundos para evoluir e entrar no pódio dos grandes ransomwares – com o dinheiro vindo de resgates de empresas dos mais variados tamanhos.
This post is also available in: Português
