A Sophos alerta que os grupos Hive, LockBit e BlackCat, três gangues de ransomware proeminentes, atacaram consecutivamente uma mesma rede.
Os primeiros dois ataques aconteceram num espaço de duas horas, e o terceiro duas semanas mais tarde.
Cada grupo de ransomware deixou o seu próprio pedido de resgate, “e alguns dos ficheiros foram triplamente encriptados”.
As conclusões estão presentes no mais recente whitepaper da Sophos X-Ops Active Adversary – “Multiple Attackers: A Clear and Present Danger“.
“Já é suficientemente mau receber uma nota de ransomware, quanto mais três,” comentou John Shier, Senior Security Advisor da Sophos.
O whitepaper detalha casos adicionais de “sobreposição” de ciberataques, incluindo cryptominers, trojans de acesso remoto (RATs, na sua sigla em inglês) e bots.
No passado, quando atacantes múltiplos apontaram a um mesmo sistema, os ataques ocorreram geralmente ao longo de muitos meses ou até anos.
Estes ataques descritos no novo whitepaper da Sophos foram lançados num espaço de dias ou semanas – e, num dos casos, em simultâneo –, “muitas vezes com atacantes diferentes a aceder à rede da vítima através do mesmo ponto de entrada vulnerável”.
Normalmente os grupos criminosos competem entre si por recursos, o que dificulta a operação simultânea de múltiplos atacantes.
Os cryptominers costumam eliminar os seus concorrentes no mesmo sistema, e os RATs atuais destacam, muitas vezes, as suas capacidades de eliminação de bots nos fóruns de criminosos.
Contudo, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat – o último a entrar no sistema – não apenas apagou os vestígios da sua atividade, como também da atividade do LockBit e do Hive.
Diz ainda a Sophos que, num outro caso, um sistema foi infetado por ransomware LockBit; depois, cerca de três meses mais tarde, membros da Karakurt Team, um grupo com ligações à Conti, pôde tirar partido da backdoor criada pelo LockBit para roubar dados e pedir um resgate por eles.
A maior parte das infeções iniciais nos ataques destacados no whitepaper ocorreu através de uma vulnerabilidade não corrigida – algumas das mais notáveis foram Log4Shell, ProxyLogon e ProxyShell – ou de servidores Remote Desktop Protocol (RDP) mal configurados e desprotegidos.
Objetivo é facilitar o acesso à rede móvel no país de chegada, garantindo que os…
Eupago alerta para os perigos das fraudes telefónicas e reúne cinco dicas para a proteção…
Através da tecnologia Tradução em Tempo Real entre diferentes idiomas da Galaxy AI, a SOS…
Com o Operator da OpenAI o processo de reserva torna-se mais fluido, ao navegar automaticamente…
Com esta nomeação, a empresa reafirma o seu compromisso de estar mais próxima dos seus…
Com o lançamento de KATA 7.0, as organizações podem agora beneficiar de capacidades melhoradas de…