Os Criadores do GandCrab Ransomware Anunciaram a Sua Aposentadoria, Mas os Servidores MySQL Mal Protegidos Ainda Correm Risco
Logo após a sua primeira aparição no início de 2018, a popularidade do GandCrab cresceu e rapidamente se tornou o nome mais proeminente no mercado de Ransomware como serviço (RaaS). O sucesso comercial do GandCrab foi tão grande que, nos últimos doze meses, mais ou menos, foi de longe a variedade mais difundida de ransomware. Os bandidos o distribuíram através de spam, kits de exploração e também o usaram em ataques direcionados contra grandes organizações.
O modelo de negócios era simples: aspirantes a criminosos procuravam os criadores do GandCrab e pediam uma compilação, e os desenvolvedores de ransomware entregavam as mercadorias em troca de uma porcentagem dos lucros. Mas quanto os operadores do GandCrab fizeram exatamente? Bem, aparentemente, a resposta é "suficiente".
Índice
Os Operadores do GandCrab Anunciam a Sua Aposentadoria
Na semana passada, Catalin Cimpanu, da ZDNet, ouviu rumores sobre um possível desligamento da operação GandCrab. Ele foi apontado para um post em um dos fóruns de hackers em que o serviço de ransomware era comercializado de forma agressiva. De fato, sugere que o que atualmente é a maior ameaça desse tipo está prestes a desaparecer.
Os cibercriminosos não são famosos por sua modéstia, mas a quantidade de se gabar era bastante grande, mesmo para seus padrões. Além de alegar que faturaram US $150 milhões (aparentemente legalizados por várias empresas) em um ano, as operadoras da GandCrab citaram ganhos por semana para seus clientes de cerca de US $2,5 milhões, e anunciaram orgulhosamente que, de maneira geral, os cibercriminosos que usam seus o ransomware faturou mais de US $2 bilhões.
Os operadores da GandCrab agora consideram que é hora de uma "bem merecida aposentadoria". Eles disseram que os anúncios do fórum já foram suspensos e pediram que seus clientes encerrassem suas operações nos próximos 20 dias. Há algumas notícias para as vítimas também.
Os Criminosos Ameaçam Excluir Todas as Chaves de Criptografia e Deixar as Vítimas Trancadas
Os operadores da GandCrab não são o primeiro grupo de distribuidores de ransomware a anunciar sua aposentadoria. Na maioria dos casos, no entanto, quando os criminosos decidem ir embora, geralmente liberam as chaves de descriptografia importantes que podem ajudar as vítimas a recuperar seus dados que, quando você pensa sobre isso, é a coisa mais lógica do mundo. Afinal, depois que a operação de ransomware termina, os bandidos não têm absolutamente nenhum uso para as chaves.
A turma do GandCrab, no entanto, decidiu que eles serão desagradáveis até o fim e explicou em seu post no fórum que excluirá todas as chaves de descriptografia, o que significa que os usuários que não estiverem dispostos a pagar o resgate nunca mais verão seus dados. Precisamos esperar e ver se os bandidos seguirão suas promessas. Enquanto isso, uma pergunta aparece.
A Morte do GandCrab é uma Boa Notícia?
Encontrar uma resposta definitiva não é tão fácil quanto você imagina. Por um lado, ter menos uma preocupação com ransomware é sempre uma boa notícia. Dito isto, o desaparecimento de GandCrab não deixará apenas um buraco vazio.
Outra família de ransomware provavelmente assumirá a coroa como a ameaça mais séria desse tipo e, ao contrário de algumas versões do GandCrab que permitiram aos pesquisadores de segurança criar ferramentas gratuitas de descriptografia, seu sucessor pode vir com um mecanismo de criptografia mais seguro, que deixará os usuários sem outra escolha, mas pagar o resgate ou dar adeus aos seus dados.
Em suma, o desaparecimento do GandCrab não tornará a Internet um lugar mais seguro. De fato, uma recente campanha do GandCrab pode até dar aos cibercriminosos algumas novas idéias.
O Legado do GandCrab
Em 19 de maio, menos de duas semanas antes do grupo de ransomware anunciar a sua aposentadoria, os pesquisadores da Sophos notaram que os bandidos estavam usando um vetor de infecção um tanto incomum para espalhar o GandCrab.
Eles estavam atrás de servidores Windows que hospedam bancos de dados MySQL e concluíram o ataque usando a porta 3306 para fazer upload de um arquivo DLL malicioso, forçando brutalmente a senha raiz do banco de dados e executando a biblioteca que baixou e executou uma amostra do GandCrab.
Não havia nada de especialmente novo, inteligente ou sofisticado no ataque do ponto de vista técnico. Dito isto, escolher foi uma boa jogada para os hackers. Eles sabiam que, ao atingir um único servidor, eles podem interromper uma organização inteira e também sabiam disso, porque se os administradores de sistemas cometem alguns erros ao configurar a sua infraestrutura de TI, é mais provável que o ataque tenha sucesso.
Espera-se que os operadores do GandCrab tenham desaparecido definitivamente do cenário de ameaças, mas outros cibercriminosos provavelmente verão o potencial de atacar servidores MySQL através do método descrito acima. Isso significa que, se você executa uma instalação do MySQL, deve certificar-se de que seja a mais segura possível. As primeiras etapas incluem a definição de uma senha root forte e a garantia de que a configuração de rede esteja corretamente configurada.
