Ransomware: Akira, Knight, NoEscape! Muita atenção…
Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence(OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.
A última edição do Ransomware Roundup, referente ao mês de outubro e novembro, destaca o Akira, Knight e NoEscape como os ataques de ransomware emergentes. No que consistem, qual o impacto e quem são as principais vítimas?
Akira
O Akira é uma variante de ransomware relativamente recente com versões para Windows e Linux que foi lançada em abril de 2023. Tal como muitos atacantes, o grupo responsável por esta variante apenas utiliza o ransomware para encriptar ficheiros depois de invadir a infraestrutura de rede e roubar os dados. Este grupo também utiliza uma tática de extorsão dupla, exigindo um resgate às vítimas em troca da desencriptação dos ficheiros e não divulgação ao público das informações roubadas.
Vetor de infeção
De acordo com um alerta emitido pelo CERT Índia, o Akira visa normalmente as organizações que utilizam um serviço VPN (rede privada virtual) sem a configuração de autenticação com multi-fator. Outra possibilidade é a compra de um acesso à rede aos atores maliciosos responsáveis pelo acesso inicial.
Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo ransomware Akira tem como alvo vários sectores da indústria. Embora a indústria transformadora seja o sector mais visado (8%), a diferença é mínima para o sector dos serviços empresariais (6%) e da construção (5%). Quando as organizações vítimas são classificadas por país, os Estados Unidos estão em primeiro lugar (53%). Saiba mais aqui.
Knight
O Knight é um grupo de ransomware relativamente recente que apareceu em agosto de 2023. Como muitos atacantes, o grupo responsável por esta variante utiliza táticas de extorsão dupla, onde o ransomware Knight encripta os ficheiros nas máquinas das vítimas e exfiltra os respetivos dados.
O antecessor do Knight, o Cyclops, tinha ferramentas multi-OS para Windows, Linux e Mac OS. Assim, embora o FortiGuard Labs só tenha localizado uma versão Windows do ransomware Knight na altura desta investigação, é provável que outras versões estejam a caminho.
Vetor de infeção
De acordo com um alerta emitido pelo CERT Itália no início de setembro, o Knight visou organizações italianas com campanhas de phishing utilizando emails com anexos maliciosos. Por sua vez, o malware Remcos e o Qakbot são conhecidos por distribuir o ransomware Knight em dispositivos comprometidos.
Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo de ransomware Knight tem como alvo vários sectores verticais da indústria.
Embora o retalho tenha sido o mais afetado pelo ransomware Knight, o grupo também vitimou organizações da área da saúde, incluindo hospitais, clínicas médicas e consultórios odontológicos, indicando que o agente da ameaça não tem reservas quanto ao impacto sobre as pessoas que precisam de cuidados médicos. Ao classificar as organizações vítimas por país, os Estados Unidos ocupam o primeiro lugar (60%). Saiba mais aqui.
NoEscape
O NoEscape é um grupo de ransomware com motivações financeiras que surgiu em maio de 2023. O grupo gere um programa de Ransomware-as-a-Service.
O programador cria e fornece as ferramentas pré e pós-infeção necessárias para que os afiliados realizem atividades maliciosas, tais como o comprometimento das vítimas, a exfiltração de dados e a implementação de encriptadores (ransomware). Acredita-se que o grupo de ransomware NoEscape esteja relacionado com o agora extinto grupo de ransomware Avaddon.
Vetor de infeção
Não estão atualmente disponíveis informações sobre o vetor de infeção utilizado pelo agente de ameaça NoEscape ransomware. No entanto, não é provável que difira significativamente de outros grupos de ransomware.
Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo de ransomware NoEscape visou vários sectores verticais da indústria. Os serviços empresariais foram os mais afetados pelo ransomware, seguidos pelos sectores da indústria transformadora e do retalho.
As vítimas do ransomware NoEscape também incluem organizações governamentais, hospitais e clínicas médicas. Ao classificar as organizações vítimas por país, os Estados Unidos ocupam o primeiro lugar (33%), seguidos pelo Reino Unido (10%) e França (8%). Ainda na região EMEA, destaque também para a Itália (6%), Espanha (5%), Suíça (4%), Alemanha (3%) e Países Baixos (3%). Saiba mais aqui.
Estas ferramentas não é para atacar pessoas normais, nós o comum mortal não temos de nos preocupar em instalar antivirus nos nossos pcs para evitarmos estes ataques. As plataformas sociais e sites de bancos, entre outras entidades que têm os nossos dados é que têm de se precaver a nós ficamos sempre preocupados lol
Muitas vezes, nós comuns mortais, somos o ponto de entrada dessas ferramentas
Não desvalorizemos os avisos e (in)formação
Eles utilizam o que chamas de “pessoas normais” para lançar ataques em grande escala.
É precisamente junto das pessoas normais que os criminosos tem as suas actividades maliciosas. A chamada engenharia social, funciona muito bem junto das pessoas desprevenidas. Abrir um email com um anexo, ou aceder a um site , pode ser o inicio dum ataque.
No Linux e motivo para preocupacao ?
Sim ! Os criminosos não perdoam nenhuma oportunidade. A melhor protecção é não assumir que eles nunca vão atacar. Eles são muito democratas. Se lhes der uma oportunidade, eles não se fazem rogados. Não seja mais um pato a ser depenado. Não baixe a guarda, seja em que situação for. Pontos a ter cuidado :
ficheiros anexados em emails, sites desconhecidos e/ou pouco recomendáveis, pens usb, programas não originais ou copias, programas sem ficheiro de verificação.