A Sophos, especialista de segurança de redes e endpoints, identificou a publicação de dados roubados às organizações com o recurso do ramsonware Conti. Nos últimos seis meses detetou que pelo menos 180 organizações foram vítimas de uma técnica apelidada de “dupla extorsão”. Este tipo de ramsonware é o sucessor do conhecido Ryuk, atuando ao encriptar dados confidenciais das empresas, extorquindo as vítimas através da sua divulgação.
A empresa explica que este ataque é executado de forma manual pelos cibercriminosos, aplicando as técnicas de dupla extorsão. Depois de roubarem e encriptarem os dados dos seus alvos, fazem ameaças de publicação dos mesmos no website Conti News, caso a empresa não pague o respetivo resgate. Este tipo de ameaça afeta sobretudo empresas da Europa Ocidental e América do Norte.
De recordar que a CD Projekt foi recentemente vítima de um ataque de ramsonware, tendo sido roubado e partilhado o seu código-fonte utilizado em jogos como Cyberpunk 2077 e The Witcher. Os dados chegaram a estar à venda no mercado negro por valores de até 7 milhões de euros.
A Sophos refere que contruiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. “Embora este tipo de ataque possa dirigir-se a qualquer sector, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública” salienta no comunicado.
Explica ainda que no último ataque de ransomware Conti identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A respetiva equipa de TI da empresa detetou e desativou um dos servidores, pensando estar a impedir o ataque. No entanto, os cibercriminosos de servidor e continuaram a partir deste segundo. E isto acontece quando os ataques são feitos manualmente por humanos, que têm sempre um plano B como neste caso. “Serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”, explica a especialista em segurança.
Considerando a experiência da Sophos a detetar e lidar com este tipo de ameaças, a empresa criou uma lista de ações para ajudar os TI a responder a um ataque de ransomware:
1 – Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.
2 - Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.
3 - Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.
4 - Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários