Ataque de ransomware em grande escala evitado por especialistas em segurança

Uma empresa não identificada estava prestes a se tornar a última manchete negativa e sofrer um grande ataque de ransomware, mas os pesquisadores de segurança conseguiram evitar a crise na hora certa.

A ZDNet relatou o incidente, que envolveu uma grande empresa trazendo especialistas em segurança da Sophos a bordo, após a descoberta de um grande número de instâncias de Cobalt Strike instaladas nos computadores da empresa. À primeira vista, isso pode não parecer nada suspeito, já que Cobalt Strike é originalmente uma ferramenta legítima de teste de penetração. No entanto, ao longo do ano passado, o Cobalt Strike também aumentou seu uso entre os círculos do crime cibernético.

Depois que a empresa inicialmente trouxe o Sophos a bordo para investigar o aparecimento do CobaltStrike na rede, os pesquisadores de segurança descobriram que toda a rede estava sendo trabalhada e preparada para um ataque de ransomware em escala real.

Os criminosos planejavam usar o ransomware REvil e causar o máximo de danos possível, criptografando dados em massa. Felizmente para o cliente da Sophos, os pesquisadores de segurança conseguiram localizar os esforços contínuos para preparar a rede para a carga útil do ransomware e evitar todo o impacto do ataque.

Apenas um pequeno número de sistemas e dispositivos desprotegidos foram criptografados, mas isso não afetou a empresa de forma significativa. Os criminosos por trás da tentativa de ataque deixaram uma nota de resgate nos poucos dispositivos que criptografaram, e o pedido de resgate foi da ordem de US $ 2,5 milhões. Claro, dado que o ataque em grande escala foi frustrado, nada disso foi pago.

O que ZDNet e a investigação da Sophos apontam, porém, é que os malfeitores por trás do ataque conseguiram roubar o software de acesso remoto ScreenConnect legítimo em mais de cem máquinas da empresa sem que ninguém percebesse e soasse o alarme.

O gerente da equipe do Sophos Rapid Response, Peter Mackenzie, citado pela ZDnet, disse que a maneira mais comum para os agentes de ameaças obterem uma posição inicial em uma rede geralmente envolve usuários de phishing ou exploração de vulnerabilidades VPN ou sistemas que não tenham autenticação multifator ativada em suas VPNs.

REvil, o ransomware que quase atingiu a empresa anônima nessa reviravolta feliz, também foi usado com sucesso contra a JBS - o maior produtor de carne bovina e suína in natura da América e, no caso da JBS, a empresa não teve tanta sorte. A gangue de ransomware por trás desse ataque conseguiu arrancar incríveis US $ 11 milhões da JBS.

Mackenzie também deu algumas dicas de segurança, incluindo o que a indústria de segurança como um todo vem tentando ensinar às empresas e empresas. As principais recomendações incluem manter o software de segurança atualizado instalado e gerenciado a partir de um hub centralizado em todos os dispositivos de rede e manter cada sistema atualizado com os patches mais recentes para todos os softwares em execução.