A Sophos, especialista de segurança de redes e endpoints, identificou a publicação de dados roubados às organizações com o recurso do ramsonware “Conti”. Nos últimos seis meses detetou que pelo menos 180 organizações foram vítimas de uma técnica apelidada de “dupla extorsão”. Este tipo de ramsonware é o sucessor do conhecido “Ryuk”, atuando ao encriptar dados confidenciais das empresas, extorquindo as vítimas através da sua divulgação.
A empresa explica que este ataque é executado de forma manual pelos cibercriminosos, aplicando as técnicas de dupla extorsão. Depois de roubarem e encriptarem os dados dos seus alvos, fazem ameaças de publicação dos mesmos no website “Conti News”, caso a empresa não pague o respetivo resgate. Este tipo de ameaça afeta sobretudo empresas da Europa Ocidental e América do Norte.
A Sophos refere que contruíu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. “Embora este tipo de ataque possa dirigir-se a qualquer sector, as empresas mais afetadas até agora pelo ransomware “Conti” pertencem às áreas do retalho, da indústria, construção e administração pública” salienta no comunicado.
Explica ainda que no último ataque de ransomware “Conti” identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A respetiva equipa de TI da empresa detetou e desativou um dos servidores, pensando estar a impedir o ataque. No entanto, os cibercriminosos trocaram de servidor e continuaram a partir deste segundo. E isto acontece quando os ataques são feitos manualmente por humanos, que têm sempre um plano B como neste caso. “Serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”, explica a especialista em segurança.
Considerando a experiência da Sophos a detetar e lidar com este tipo de ameaças, a empresa criou uma lista de ações para ajudar os TI a responder a um ataque de ransomware:
1 – Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.
2 – Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.
3 – Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.
4 – Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.
Deixe uma resposta