Grupos de ransomware atacam uma mesma rede consecutivamente

A Sophos alerta que os grupos Hive, LockBit e BlackCat, três cibergrupos de ransomware proeminentes, atacaram consecutivamente uma mesma rede. Os primeiros dois ataques aconteceram num espaço de duas horas, e o terceiro duas semanas mais tarde. Cada grupo de ransomware deixou o seu próprio pedido de resgate, e alguns dos ficheiros foram triplamente encriptados. Estas conclusões estão presentes no mais recente whitepaper da Sophos X-Ops Active Adversary – “Multiple Attackers: A Clear and Present Danger”.

“Já é suficientemente mau receber uma nota de ransomware, quanto mais três”, comentou John Shier, Senior Security Advisor da Sophos. “Os atacantes múltiplos criam todo um novo nível de complexidade quanto à recuperação, particularmente quando os ficheiros de rede são encriptados triplamente. Uma cibersegurança que inclua prevenção, deteção e resposta é essencial para as organizações de qualquer dimensão e natureza – nenhuma está imune”.

O whitepaper detalha casos adicionais de sobreposição de ciberataques, incluindo cryptominers, trojans de acesso remoto (RAT, na sua sigla em inglês) e bots. No passado, quando atacantes múltiplos apontaram a um mesmo sistema, os ataques ocorreram geralmente ao longo de muitos meses ou até anos. Estes ataques descritos no novo whitepaper da Sophos foram lançados num espaço de dias ou semanas – e, num dos casos, em simultâneo –, muitas vezes com atacantes diferentes a aceder à rede da vítima através do mesmo ponto de entrada vulnerável.

Normalmente os grupos criminosos competem entre si por recursos, o que dificulta a operação simultânea de múltiplos atacantes. Os cryptominers costumam eliminar os seus concorrentes no mesmo sistema, e os RAT atuais destacam, muitas vezes, as suas capacidades de eliminação de bots nos fóruns de criminosos. Contudo, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat – o último a entrar no sistema – não apenas apagou os vestígios da sua atividade, como também da atividade do LockBit e do Hive. Noutro caso, um sistema foi infetado por ransomware LockBit; depois, cerca de três meses mais tarde, membros da Karakurt Team, um grupo com ligações à Conti, pôde tirar partido da backdoor criada pelo LockBit para roubar dados e pedir um resgate por eles.

“De modo geral, os grupos de ransomware não parecem antagonizar-se abertamente. De facto, o LockBit não proíbe explicitamente os seus associados de trabalhar com concorrentes, tal como indicamos no whitepaper da Sophos”, continua Shier. “Não temos provas de colaboração, mas é possível que ela aconteça, se os atacantes perceberem que o volume de ‘recursos’ é finito num mercado cada vez mais competitivo. Ou talvez acreditem que, quanto mais pressão colocarem num alvo – por exemplo através de múltiplos ataques –, mais será provável que as vítimas paguem. Talvez tenham discussões a nível superior e tenham assinado acordos mutuamente benéficos, por exemplo, em que um grupo encripta os dados e outro extrai-os. Em algum momento, estes grupos terão de decidir a sua posição quanto à colaboração – se devem adotá-la mais ou tornar-se mais competitivos –, mas, por agora, o campo de ação está aberto para múltiplos ataques por diferentes grupos”.

A maior parte das infeções iniciais nos ataques destacados no whitepaper ocorreu através de uma vulnerabilidade não corrigida – algumas das mais notáveis foram Log4Shell, ProxyLogon e ProxyShell – ou de servidores Remote Desktop Protocol (RDP) mal configurados e desprotegidos. Na maioria dos casos que envolveram diversos atacantes, as vítimas não conseguiram remediar o ataque inicial de forma eficaz, deixando a porta aberta para atividades cribercriminosas futuras. Nessas ocasiões, os mesmos erros de configuração do RDP, bem como aplicações como RDWeb ou AnyDesk, tornaram-se caminhos facilmente exploráveis para ataques subsequentes. De facto, servidores RDP e VPN expostos são alguns dos itens mais populares vendidos na dark web.

“Tal como sublinhámos no mais recente Active Adversary Playbook, em 2021 a Sophos começou a notar que organizações sofriam vários ataques em simultâneo, e indicou que esta poderia ser uma tendência em crescimento”, concluiu John Shier. “Ainda que a ascensão dos atacantes múltiplos ainda se baseie em provas empíricas, a disponibilidade dos sistemas exploráveis oferece aos cibercriminosos amplas oportunidades para continuarem a seguir nesta direção”.