Ransomware torna públicos dados empresariais através de técnica de dupla extorsão

A Sophos detetou inúmeros ataques confirmados do ransomware Conti, um ataque através de encriptação de dados e posterior pedido de resgate, que é executado de forma manual por cibercriminosos e aplica técnicas de dupla extorsão às suas vítimas.

Depois de acederem às redes empresariais, os atacantes roubam os dados dos seus alvos, encriptam-nos e ameaçam publicar a informação furtada no website “Conti News” se a empresa não pagar o resgate. A Sophos identificou já a publicação de dados roubados com recurso ao ransomware Conti a pelo menos 180 organizações, apenas nos últimos meses.

Os investigadores da Sophos e os especialistas da equipa Sophos Rapid Response detetaram múltiplos ataques do ransomware Conti nos últimos seis meses, mostrando que esta é uma ameaça global que afeta sobretudo empresas da Europa Ocidental e América do Norte.

Desde a primeira aparição do Conti, os investigadores assumiram que era um sucessor do Ryuk, ainda que se tenha identificado uma diferença fundamental no grupo criminoso responsável pelo ransomware Conti: os cibercriminosos que lançam este tipo de ataque utilizam técnicas de “dupla extorsão”, ameaçando filtrar os dados roubados de modo a obrigar as vítimas a pagar o resgate.

Com recurso à informação publicada pelos atacantes no website “Conti News”, a Sophos construiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. Embora este tipo de ataque possa dirigir-se a qualquer setor, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública.

“Nos ataques dirigidos comandados por humanos, os adversários podem adaptar-se e reagir a situações que se alteram em tempo real”, afirma Peter Mackenzie, Manager da Sophos Rapid Response. “No caso do último ataque do ransomware Conti identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A equipa de TI da empresa atacada detetou o ataque e desativou um dos servidores, acreditando que assim estaria a impedir o ataque a tempo. No entanto, os cibercriminosos mudaram simplesmente de servidor e continuaram a partir do segundo. Ter um ‘Plano B’ é uma estratégia habitual nos ciberataques encabeçados por pessoas; e serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”.

Nas empresas que não contam com uma equipa especializada em segurança é o departamento de TI que está na primeira linha de combate aos ataques de ransomware. “São eles que chegam ao trabalho numa certa manhã e encontram tudo bloqueado e uma nota de resgate nos ecrãs dos computadores, por vezes seguida de e-mails e até chamadas ameaçadoras”, acrescenta Mackenzie.

Com base na sua experiência, os especialistas em deteção e resposta a ameaças da Sophos criaram uma lista de ações simples para ajudar os responsáveis de TI nas primeiras horas e dias depois de um ataque de ransomware como o Conti, oferecendo-lhes formas de pedir ajuda e de estabelecer as bases para um futuro mais seguro:

1. Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.
2. Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.
3. Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.
4. Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.
5. Contar com um plano eficaz de resposta a estes incidentes e atualizá-lo sempre que necessário. Não detendo os recursos ou conhecimentos necessários para desenvolver um plano de segurança, supervisionar possíveis ameaças ou responder a incidentes de emergência, as empresas deverão considerar a possibilidade de recorrer a especialistas externos para manter-se protegidas.