Hive, LockBit e BlackCat atacam uma mesma rede consecutivamente
Uma das empresas alvo destes grupos recebeu três notas de ransomware diferentes para ficheiros com encriptação tripla.
A Sophos alerta que os grupos Hive, LockBit e BlackCat, três gangues de ransomware proeminentes, atacaram consecutivamente uma mesma rede.
Os primeiros dois ataques aconteceram num espaço de duas horas, e o terceiro duas semanas mais tarde.
Cada grupo de ransomware deixou o seu próprio pedido de resgate, “e alguns dos ficheiros foram triplamente encriptados”.
As conclusões estão presentes no mais recente whitepaper da Sophos X-Ops Active Adversary – “Multiple Attackers: A Clear and Present Danger“.
“Já é suficientemente mau receber uma nota de ransomware, quanto mais três,” comentou John Shier, Senior Security Advisor da Sophos.
O whitepaper detalha casos adicionais de “sobreposição” de ciberataques, incluindo cryptominers, trojans de acesso remoto (RATs, na sua sigla em inglês) e bots.
No passado, quando atacantes múltiplos apontaram a um mesmo sistema, os ataques ocorreram geralmente ao longo de muitos meses ou até anos.
Estes ataques descritos no novo whitepaper da Sophos foram lançados num espaço de dias ou semanas – e, num dos casos, em simultâneo –, “muitas vezes com atacantes diferentes a aceder à rede da vítima através do mesmo ponto de entrada vulnerável”.
Normalmente os grupos criminosos competem entre si por recursos, o que dificulta a operação simultânea de múltiplos atacantes.
Os cryptominers costumam eliminar os seus concorrentes no mesmo sistema, e os RATs atuais destacam, muitas vezes, as suas capacidades de eliminação de bots nos fóruns de criminosos.
Contudo, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat – o último a entrar no sistema – não apenas apagou os vestígios da sua atividade, como também da atividade do LockBit e do Hive.
Diz ainda a Sophos que, num outro caso, um sistema foi infetado por ransomware LockBit; depois, cerca de três meses mais tarde, membros da Karakurt Team, um grupo com ligações à Conti, pôde tirar partido da backdoor criada pelo LockBit para roubar dados e pedir um resgate por eles.
A maior parte das infeções iniciais nos ataques destacados no whitepaper ocorreu através de uma vulnerabilidade não corrigida – algumas das mais notáveis foram Log4Shell, ProxyLogon e ProxyShell – ou de servidores Remote Desktop Protocol (RDP) mal configurados e desprotegidos.