SEXi, Key Group e Mallox são exemplos de grupos que usam malware de outros ransomware para novas criações
A Equipe de Análise e Pesquisa Global da Kaspersky (GReAT) publicou um relatório global
sobre os recentes ataques de ransomware que utilizam códigos-fonte públicos e
“de prateleira” – ou seja, prontos para uso –, o que permite aos golpistas
buscar vítimas e propagar atividades maliciosas rapidamente. Esta pesquisa
revela as ferramentas e métodos usados por grupos organizados de ransomware e
golpistas individuais.
A Kaspersky traz os principais grupos que fizeram esse tipo de utilização:
SEXi: Em abril deste ano, o grupo realizou um ataque de
ransomware no Chile, usando um novo código malicioso recentemente descoberto.
Eles miram em um software de virtualização (ESXi) desatualizado e comum em
diversas empresas. O grupo se diferencia por usar versões diferentes de
ransomware dependendo do sistema: ambas são baseadas em amostras de ransomware
vazadas do grupo de ransomware Babuk para a versão Linux e Lockbit para
Windows.
Key Group: Ele utilizou oito tipos diferentes de
ransomware desde sua criação em abril de 2022 e suas técnicas e mecanismos de
persistência evoluíram com cada nova variante. Apesar da diversidade de
métodos, o Key Group é conhecido por suas operações pouco profissionais, como a
utilização do Telegram para interação, o que facilita seu rastreamento.
Mallox: esse é uma variante de ransomware menos
conhecida, apareceu pela primeira vez em 2021 e iniciou seu programa de
afiliados em 2022. Ao contrário do SEXi e do Key Group, os autores do Mallox
afirmam ter comprado o código-fonte. Este grupo colabora exclusivamente com
afiliados de língua russa e tem como alvo organizações com receitas superiores
a 10 milhões de dólares, evitando ataques a hospitais e instituições de ensino.
Em 2024, apenas oito das afiliadas originais ainda estavam ativas, sem
recém-chegados.
"A barreira para o lançamento de ataques de ransomware está
desaparecendo. Com ransomware pronto para uso e programas de afiliados, até os
cibercriminosos novatos podem representar uma ameaça significativa",
destaca Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da
Kaspersky para a América Latina. “Comprar uma amostra na
dark web, afiliar-se a outros grupos ou encontrar uma variante de ransomware
vazada não requer nenhum esforço extraordinário, pois o código-fonte geralmente
pode ser vazado ou publicado anteriormente. A boa notícia é que as empresas que
já conhecem as práticas dos grupos originais terão facilidade em evitar a
infecção. Essa tendência destaca o benefício de manter o time de segurança
informado sobre as novas práticas, táticas e técnicas usadas em ciberataques.”
Para manter seus dados protegidos contra ataques de ransomware, os
especialistas da Kaspersky recomendam:
- Ofereça à sua equipe de segurança treinamento
básico de higiene em cibersegurança. Realize um ataque simulado de phishing
para garantir que seus profissionais saibam identificar e-mails de
phishing.
- Utilize soluções de proteção para servidores de e-mail com
capacidades anti-phishing, para diminuir a possibilidade de infecção por
meio de um e-mail de phishing.
- Encontre uma solução
dedicada para pequenas e médias empresas, com gestão simples e
funcionalidades de proteção comprovadas.
Saiba mais em Securelist.
Kaspersky
Mais informações no site.
Nenhum comentário:
Postar um comentário