Threats
Investigadores dizem que o grupo de ransomware PYSA é “extremamente disciplinado” e deverá continuar ativo
09/08/2021
|
“Extremamente disciplinado”: é desta forma que a Palo Alto Networks descreve o grupo de ransomware conhecido como PYSA - Mespinoza ransomware group, depois de investigar a fundo os seus ataques de extorsão. "Eles pesquisam utilizando termos sensíveis como ilegal, fraude e criminoso. Por outras palavras, os hackers estão interessados em atividades ilegais conhecidas pela organização que possam fornecer uma alavanca para começar a negociação", explica Alex Hinchliffe, analista de inteligência de ameaças da Unit 42 na Palo Alto Networks, à ZDNet. A estratégia do grupo passa por infiltrar as redes através do Remote Desktop Protocol (RDP), procurando ficheiros que contenham informação sensível, que sugira que as vítimas estiveram ou estão envolvidas em atividades criminosas. O grupo alveja organizações por todo o mundo e pede resgates de milhões de dólares em troca da chave de desencriptação dos ficheiros, aplicando frequentemente táticas de dupla extorsão. "Muitas organizações têm serviços como o RDP exposto à internet e estão a expor-se ao risco de ataques lançados remotamente, negando a necessidade do ator da ameaça de criar e executar ataques de phishing a um custo muito maior", acrescentou Hinchliffe. A forma como as credenciais são roubadas é incerta, mas tendo conhecimento dos nomes de utilizador e passwords legítimas, os atacantes são capazes de permanecer nos sistemas sem serem detetados, criando espaço e tempo para desenvolverem o ataque dentro da rede. Por outro lado, os hackers garantem acesso aos sistemas através da instalação de uma backdoor, denominada Gasket. “Eles são relativamente novos, mas estão a causar um grande impacto devido à quantidade de vítimas que foram listadas no seu site, e provavelmente estão a extorquir muito dinheiro”, disse Hinchliffe. Os valores de resgate costumam ultrapassar 1,5 milhões de dólares, mas o grupo, de origem desconhecida, está disposto a negociar com as vítimas. Prevê-se que o PYSA continue em atividade pelo que é premente que as organizações empreguem medidas de prevenção, reforçando as palavras-passe e aplicando uma autenticação múltipla nas contas. "As organizações precisam de saber mais sobre a sua área de ataque porque sem saber da pegada do grupo, especialmente a parte conectada à Internet, é quase impossível ver o que está a acontecer, muito menos se defenderem contra isso", conclui Hinchliffe. |
Receba todas as novidades na sua caixa de correio!
EXPERT
NIS2, DORA e AI: a cibersegurança e os (próximos) desafios estratégicos da nova regulação
ANALYSIS
“A legislação pode sair, mas, se a gestão de topo não entender que é uma necessidade do negócio, nunca vai funcionar”
NEWS
CNCS lança referencial de comunicação de risco e crise
BLUE TEAM
Warpcom assume compromisso junto de clientes com soluções alinhadas com a transformação digital e a cibersegurança
ANALYSIS
Divulgados mais de 54 mil milhões de cookies
THREATS
Furto de cookies de sessão para aplicações SaaS é uma ameaça crescente às organizações
THREATS
Exploração das vulnerabilidades de dispositivos NAS da D-Link continua a aumentar
THREATS
Falhas de execução de código em produtos Adobe leva a lançamento de atualizações de segurança
THREATS
Descoberta nova variante do DinodasRAT para Linux que visa organizações mundiais
THREATS
Falha crítica do Rust permite ataques de injeção de comando no Windows
