2021-3-15

SEGURANÇA

Ransomware torna públicos dados empresariais através de técnica de dupla extorsão

Os setores mais prejudicados pelo ransomware Conti são o retalho, a indústria e a construção, assim como a administração pública e o setor da saúde

Ransomware torna públicos dados empresariais através de técnica de dupla extorsão

A Sophos detetou inúmeros ataques confirmados do ransomware Conti, um ataque através de encriptação de dados e posterior pedido de resgate, que é executado de forma manual por cibercriminosos e aplica técnicas de dupla extorsão às suas vítimas.

Depois de acederem às redes empresariais, os atacantes roubam os dados dos seus alvos, encriptam-nos e ameaçam publicar a informação furtada no website “Conti News” se a empresa não pagar o resgate. A Sophos identificou já a publicação de dados roubados com recurso ao ransomware Conti a pelo menos 180 organizações, apenas nos últimos meses.

Os investigadores da Sophos e os especialistas da equipa Sophos Rapid Response detetaram múltiplos ataques do ransomware Conti nos últimos seis meses, mostrando que esta é uma ameaça global que afeta sobretudo empresas da Europa Ocidental e América do Norte.

Desde a primeira aparição do Conti, os investigadores assumiram que era um sucessor do Ryuk, ainda que se tenha identificado uma diferença fundamental no grupo criminoso responsável pelo ransomware Conti: os cibercriminosos que lançam este tipo de ataque utilizam técnicas de “dupla extorsão”, ameaçando filtrar os dados roubados de modo a obrigar as vítimas a pagar o resgate.

Com recurso à informação publicada pelos atacantes no website “Conti News”, a Sophos construiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. Embora este tipo de ataque possa dirigir-se a qualquer setor, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública.

Nos ataques dirigidos comandados por humanos, os adversários podem adaptar-se e reagir a situações que se alteram em tempo real”, afirma Peter Mackenzie, Manager da Sophos Rapid Response. “No caso do último ataque do ransomware Conti identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A equipa de TI da empresa atacada detetou o ataque e desativou um dos servidores, acreditando que assim estaria a impedir o ataque a tempo. No entanto, os cibercriminosos mudaram simplesmente de servidor e continuaram a partir do segundo. Ter um ‘Plano B’ é uma estratégia habitual nos ciberataques encabeçados por pessoas; e serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”.

Nas empresas que não contam com uma equipa especializada em segurança é o departamento de TI que está na primeira linha de combate aos ataques de ransomware. “São eles que chegam ao trabalho numa certa manhã e encontram tudo bloqueado e uma nota de resgate nos ecrãs dos computadores, por vezes seguida de e-mails e até chamadas ameaçadoras”, acrescenta Mackenzie.

Com base na sua experiência, os especialistas em deteção e resposta a ameaças da Sophos criaram uma lista de ações simples para ajudar os responsáveis de TI nas primeiras horas e dias depois de um ataque de ransomware como o Conti, oferecendo-lhes formas de pedir ajuda e de estabelecer as bases para um futuro mais seguro:

  1. Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.
  2. Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.
  3. Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.
  4. Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.
  5. Contar com um plano eficaz de resposta a estes incidentes e atualizá-lo sempre que necessário. Não detendo os recursos ou conhecimentos necessários para desenvolver um plano de segurança, supervisionar possíveis ameaças ou responder a incidentes de emergência, as empresas deverão considerar a possibilidade de recorrer a especialistas externos para manter-se protegidas.

Recomendado pelos leitores

Experiência do utilizador é fundamental na implementação de SASE
SEGURANÇA

Experiência do utilizador é fundamental na implementação de SASE

LER MAIS

Microsoft lança ferramenta de red team para IA generativa
SEGURANÇA

Microsoft lança ferramenta de red team para IA generativa

LER MAIS

Empresas portuguesas já utilizam soluções de cibersegurança com IA
SEGURANÇA

Empresas portuguesas já utilizam soluções de cibersegurança com IA

LER MAIS

IT CHANNEL Nº 105 MARÇO 2024

IT CHANNEL Nº 105 MARÇO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.