Qualquer que seja o choque de tempo, as pessoas geralmente tomam o lado de alguém, mesmo quando se trata de crimes cibernéticos. Desde o início da guerra entre Rússia e Ucrânia, alguns elementos ruins tornaram suas lealdades públicas.
O agrupamento Conti Ransomware-as-a-Serviço (RaaS) é um dos mais remarcáveis, proclamando em fevereiro que eles estariam dando suporte à Rússia e empregando seu conjunto de armas como esperado.
O Costa Rica foi o último a ser visado pela ofensiva russa, rejeitando as ações de invasão. Isso traz preocupação a outros países: Por que está ocorrendo essa invasão agora e quais as consequências disso?
Conti alcançou o sucesso de forma rápida e fulminante.
O Conti ransomware é responsável por inúmeros incidentes prominentes, tal como a paralisação dos serviços de saúde da Irlanda em maio de 2021. O FBI (PDF) tem classificado esta variante de ransomware como a principal ameaça para a infraestrutura crítica em 2021. A agência já identificou 16 ataques por Conti ransomware a redes de atendimento de emergência, serviços médicos, serviços policiais e centros de despacho de 9-1-1 nos EUA no ano passado.
No ano passado, os dados de bate-papo interno da Conti foram expostos – em outras palavras, seu guia de regras foi acessível ao público. Mais informações internas vazadas no início deste ano indicaram que o grupo estava funcionando basicamente como uma corporação. Estes documentos – ironicamente vazados em represália à postura favorável à Rússia da Conti – demonstraram que a gangue ransomware possuía um departamento de Recursos Humanos, concedia bônus e até selecionava um funcionário do mês.
Estamos vendo Conti tentar reerguer a imagem negativa, mostrando que eles ainda são legítimos, bem qualificados e importantes. Isso é notável em seu processo de recrutamento, seguindo os passos de outros atores de ameaças e realizando eventos de recrutamento como aqueles que você esperaria de empresas de tecnologia de elite, apesar de terem uma abordagem um pouco mais discreta.
Ainda que não consideremos esses indivíduos como um país, sua devoção às suas crenças é nítida. Porém, o eixo ao redor do qual suas atividades giram é o dinheiro, e eles lutam para permanecer no topo.
O desenvolvimento do ransomware ao longo do tempo tem sido acentuado. O que começou como uma forma simples de extorsão se tornou mais elaborado e confuso. Novas versões de ransomware são muito mais difíceis de serem detectadas e possuem características mais avançadas, tornando cada vez mais difícil evitar ou prevenir.
O ataque à Costa Rica teve um custo milionário para a nação. O pagamento de impostos foi suspenso e os funcionários das 27 agências do governo afetadas tiveram que recorrer a canetas e papel, pois seus computadores continuaram sem uso. Esta ação parece indicar que Conti pretende ‘renovar’ sua imagem, pois notícias sobre o ataque não demoraram a aparecer, e Conti parece estar se despedindo de sua forma anterior.
Mais importante aqui é que os ataques como aquele contra o país inteiro mostram como o ransomware está evoluindo. É claro que o dinheiro é um motivador, mas a fama também está por trás. O desejo de Conti não é apenas conseguir dinheiro, mas também derrubar o governo costa-riquenho, que é um novo tipo de ransomware, o que só acrescenta à notoriedade do atacante.
Também estamos vendo incursões que aparentam se concentrar principalmente na destruição. Os cientistas do Laboratório FortiGuard recentemente descobriram uma versão nova do vírus Chaos, com o qual o agressor não pretende fornecer qualquer mecanismo de desencriptação ou instruções de arquivo – tudo o que este quer é destruir tudo aquilo que conseguir.
Os criminosos virtuais estão tentando intimidar com o que pode resultar. Embora tenha um ângulo financeiro, eles também estão mostrando seu poder. É provável que existam discrepâncias entre os bandos. No entanto, o objetivo é aterrorizar as corporações para que elas paguem o resgate solicitado. Como as tensões estão aumentando, isso pode variar diariamente.
Qual é o significado das evoluções do malware e do ransomware? Possivelmente, veremos golpes ransomware cada vez mais destrutivos acompanhados de malware que limpa os dados inteiramente. É provável que vejamos ataques ransomware mais agressivos com malware wipers. O que estamos observando é que os criminosos não temem mais em usar táticas mais sofisticadas, eles não estão mais com medo de experimentar – e infelizmente isso torna muito mais difícil conter e detectar esses ataques.
Mantenha-se firme e não abandone os seus objetivos.
Recentemente, o ransomware Chaos vem sendo atribuído à Rússia, deixando observadores se perguntando o que isso poderia significar no campo da segurança cibernética. A possibilidade de guerras de proxy cibernéticas tem grandes implicações tanto para governos quanto para empresas comerciais dentro de seus limites. Agora, tomar uma posição pode acarretar em efeitos digitais adicionais.
Contudo, as empresas não precisam hesitar diante de ataques de ransomware se elas tiverem a estratégia de segurança adequada implantada. Esta envolve uma abrangente e integrada rede de defesa, a mais recente inteligência de ameaças, um robusto programa de cibersegurança e treinamento de funcionários de alto nível. Mantenha-se atento às tendências e continue a executar ações de segurança avançadas e básicas e você provavelmente se protegerá das tempestades de ransomware.
Aamir Lakhani é um pesquisador de segurança de computador e colaborador do Laboratório FortiGuard.
Aproveite informações extras da comunidade Infosec Insiders da Threatpost visitando nosso site especial.
Por favor, divulgue este artigo.
- O InfoSec Insider é um sítio de web que aborda assuntos relacionados à segurança da informação, proporcionando aos seus leitores informações sobre as últimas tendências e acontecimentos no âmbito da segurança da informação.
- Malware é um programa prejudicial que pode ser usado para obter informações sigilosas.