FBI alerta sobre táticas de acesso inicial utilizadas em ransomware

O FBI publicou um novo aviso sobre os operadores de ransomware que comprometem fornecedores e serviços terceirizados, explorando-os para conseguirem o acesso inicial aos ambientes dos alvos.

De acordo com o Bureau, os cibercriminosos foram observados a explorar vulnerabilidades no acesso remoto controlado pelo fornecedor aos servidores, assim como a abusar das ferramentas legítimas de gestão de sistema para aumentar as permissões nas redes das organizações visadas.

“O FBI continua a rastrear relatórios de fornecedores e serviços terceirizados como um vetor de ataque para incidentes de ransomware”, afirma a agência no alerta partilhado pela American Hospital Association.

Entre 2022 e 2023, foram diversos os ataques de ransomware que abusaram de fornecedores de jogos terceirizados para comprometer os servidores de pequenos casinos e para criptografar informações de identificação pessoal (PII), revela o FBI.

Além disso, a agência alerta sobre o furto de dados de phishing e ataques de extorsão levados a cabo pelo Silent Ransom Group (SRG), também conhecido como Luna Moth. Os cibercriminosos começam por enviar uma mensagem de phishing aos seus alvos, geralmente alegando estar relacionada com cobranças pendentes na conta dos indivíduos visados, onde solicitam que entrem em contacto com um número telefónico específico.

“Depois de as vítimas ligarem para o número de telefone fornecido, os atores mal-intencionados direcionaram-nas para entrar numa ferramenta legítima de gestão de sistema através de um link fornecido num e-mail de acompanhamento”, explica o FBI.

Posteriormente, os cibercriminosos utilizam esta ferramenta para introduzir ferramentas adicionais legítimas de gestão remota, que podem ser usadas para encetar atividades maliciosas. Os invasores visaram drives partilhadas locais e de rede, exfiltraram dados e tentaram extorquir as empresas-alvo.

Para mitigar o risco de ransomware, o FBI recomenda um conjunto de ações às organizações, que incluem: criar backups; rever a postura de segurança dos fornecedores terceirizados; proteger contas de utilizadores em conformidade com as políticas recomendadas pelo National Institute of Standards and Technology (NIST); implementar MFA resistente a phishing e segmentação de rede; monitorizar atividades suspeitas; desabilitar portas e serviços não utilizados; e manter todos os sistemas e aplicações atualizados.