This post is also available in: Português
Atualmente, o ransomware é uma das maiores ameaças à segurança cibernética para empresas no mundo todo, e os cibercriminosos conseguem ganhar milhões de dólares em Bitcoins em um único ataque bem-sucedido.
O interesse em ganhar muito dinheiro de maneira rápida e “fácil” fez com que esses ataques crescessem muito nos últimos tempos. As gangues sofisticadas especializadas em ataques de ransomware possuem esquemas em que aspirantes do cibercrime podem alugar um ransomwase como um serviço (RaaS) em troca de uma parte dos lucros obtidos.
Esse dinheiro rápido também atraiu cibercriminosos sem muito domínio e experiência, que estão vendo uma oportunidade de ganharem dinheiro sem nem saber direito o que estão fazendo.
Os pesquisadores de cibersegurança da Abnormal Security detalharam uma campanha de ransomware amador utilizando engenharia social na tentativa de enganar funcionários, para que instalem o ransomware DemonWare na rede de sua organização, em troca de uma parte do pagamento.
Conhecido também como Black Kingdom e DEMON, o DemonWare é uma das formas menos sofisticadas de ransomware que existe. Porém, isso não impediu que os cibercriminosos fizessem uso dele.
Como o DemonWare funciona?
O invasor usa o LinkedIn e outras informações disponíveis publicamente para identificar os alvos. Após isso, ele entra em contato por e-mail, perguntando se desejam instalar o ransomware DemonWare na rede da empresa em que trabalham em troca de um milhão de dólares, ou 40% do valor cobrado.
Caso a pessoa estivesse interessada, ela poderia entrar em contato com um e-mail do Outlook ou com um usuário do Telegram para negociar a ação.
Imagem/reprodução: Abnormal Security.
Segundo a Abnormal Security:
“Históricamente, o ransomware é entregue através de anexos de e-mail ou, mais recentemente, usando o acesso direto às redes através de contas de VPN inseguras ou vulnerabilidades de software.
Ver um ator tentar usar técnicas de engenharia básicas par convencer um alvo interno a ser cúmplice de um ataque contra seu empregador é notável”.
Estratégia de ataque pouco sofisticada
Os pesquisadores perceberam rapidamente que o atacante não era um cibercrminoso sofisticado. Durante a troca de mensagens, o valor do resgate foi consideravelmente baixado par U$ 120.000.
Segundo Crane Hassold, diretor de inteligência de ameaças da Abnormal Security:
“Como a maioria dos cibercriminosos com motivação financeira, este atacante está simplesmente tentando ganhar qualquer quantia de dinheiro com o golpe.
Embora ele rapidamente tenha mudado para um valor de resgate muito menor no decorrer de nossa conversa, U$ 100.000 ou U$ 1 milhão seriam ambos um valor capaz de mudar a vida de qualquer um que recebesse”.
Imagem/reprodução: Abnormal Security.
O atacante alegou que o responsável pela instalação do ransomware na rede não seria pego, alegando que o DemonWare criptografaria tudo, inclusive os arquivos CCTV. Os pesquisadores observam que essa abordagem sugere que o invasor “não está muito familiarizado com análises forenses digitais ou investigações de resposta a incidentes”.
Uma análise dos arquivos enviados pelo invasor confirmou que eles estão realmente tentando distribuir uma versão funcional do ransomware DemonWare. O invasor afirma que eles próprios codificaram o ransomware, mas isso é uma mentira – o DemonWare está disponível gratuitamente para download no GitHub, seu verdadeiro autor o colocou lá “para demonstrar como os ransomwares são fáceis de serem desenvolvidos”.
As alegações de autocodificação do invasor provavelmente são apenas outra parte da tentativa de persuadir as pessoas a seguirem em frente com o esquema. De acordo com o invasor, eles encorajaram com sucesso as pessoas a ajudá-los a implantar ransomware, embora suas declarações provavelmente não sejam confiáveis.
Conversando com a gangue, a Abnormal Security confirmou que ela opera na Nigéria, o que pode explicar o grau de amadorismo e o uso de técnicas de engenharia social.
Segundo a empresa:
“Durante anos, cibercriminosos na Nigéria usaram técnicas básicas de engenharia social para cometer uma série de golpes, então faz sentido que esse atacante esteja tentando usar as mesmas técnicas para aplicar ransomware”,
Imagem/Reprodução: Abnormal Security.
Embora esse golpe seja fácil de identificar e evitar, grupos mais sofisticados também recorrem à compra de informações e acessos internos para realizar suas ações. Como é o caso do ransomware LockBit, que cresceu em popularidade nos últimos meses.
Para ajudar a evitar que a rede seja comprometida por ransomware – seja por meio de uma invasão externa ou de uma ameaça interna – as equipes de segurança da informação devem limitar as permissões dos usuários, a menos que seja necessário que eles tenham privilégios de administrador. Isso pode impedir que ataques cibernéticos explorem contas de usuários regulares como meio de obter acesso a partes importantes da rede.
A aplicação regular de patches de segurança, reforçando o uso de autenticação multifator e armazenando backups offline também pode ajudar a prevenir ataques de ransomware disruptivos.
Fontes: ZDNet, Abnormal Security, Canaltech.
This post is also available in: Português
