No final de dezembro de 2017 a meados de janeiro de 2018, várias pequenas e médias empresas encontraram-se vítimas do sistema de resgate SamSam, em ataques propagados pela gangue do cibercrime Gold Lowell. Esta campanha fez o grupo US $ 350.000 mais rico.
O grupo Gold Lowell
O Gold Lowell aumentou a proeminência em 2015. Desde então, eles realizaram campanhas periódicas de ransomware voltadas para pequenas e médias empresas em diversas indústrias – saúde, TI, transporte, gerenciamento de resíduos e serviços empresariais. Mesmo as empresas do setor de lazer e entretenimento recentemente aderiram à lista. Gold Lowell provou ser adepto do uso de ferramentas e métodos sofisticados para realizar ataques e evitar a captura.
O Gold Lowell oferece mesmo para descriptografar qualquer arquivo gratuitamente para garantir que suas vítimas recuperem seus dados caso paguem o resgate. O resgate para descriptografar uma única máquina ou uma rede inteira aumentou muito ao longo dos anos. Em janeiro de 2016, o grupo exigiu US $ 650 para decifrar uma única máquina e US $ 4.250 para toda a rede. Em janeiro de 2018, suas demandas aumentaram para US $ 9,700 e US $ 41,700, respectivamente. Embora isso seja devido em parte ao valor disparado de Bitcoin, isso também parece implicar que o grupo do crime está ficando mais ousado com o tempo; o fato de que o resgate é dobrado se uma vítima perder o prazo inicial apenas parece apoiar essa afirmação.
Método de operação
Enquanto a maioria dos ransomware é entregue através de algum tipo de e-mail de phishing, Gold Lowell usa táticas oportunistas de digitalização e exploração para descobrir sistemas voltados para a internet com vulnerabilidades conhecidas. Gold Lowell inicialmente atacou as aplicações JBoss e, em 2017, eles começaram a segmentar as contas do Remote Desktop Protocol (RDP) também. Ao direcionar serviços e protocolos que normalmente são usados por organizações, como o JBoss e o RDP, o Gold Lowell é capaz de descobrir e obter entrada em redes comerciais. Após a entrada, eles usam várias ferramentas públicas e personalizadas para roubar senhas, identificar os sistemas mais críticos para explorar e lançar o ransomware.
Ransomware SamSam
O último ataque de Gold Lowell usou uma versão personalizada do Samansam Ransomware, uma variante de malware conhecida. Francamente, não há nada de exclusivo sobre o próprio resgate da SamSam. No entanto, é bastante sofisticado, pois usa um método de criptografia forte e toma medidas para evitar a recuperação, além de complicar as investigações forenses.
O ransomware SamSam primeiro criptografa arquivos usando um algoritmo simétrico conhecido como Rijndael. Em seguida, criptografa a chave Rijndael usando uma chave pública RSA 2048. A chave privada RSA 2048 correspondente é então entregue à vítima mediante o pagamento do resgate. Após a criptografia, o malware limpa todo o espaço livre no disco e exclui todos os backups online para impedir as tentativas de recuperação. Ele finalmente elimina seu próprio arquivo binário, deixando pesquisadores de segurança sem um arquivo para analisar.
Ficar a salvo de Gold Lowell e SamSam
A principal maneira de evitar ataques de varredura e exploração, como os usados por Gold Lowell, é garantir que todos os serviços, aplicativos e protocolos voltados para a internet sejam corrigidos. Você também deve armazenar uma cópia offline de seus backups, de modo que o malware que atinja sua rede não possa detectá-los ou excluí-los. E, é claro, sempre implementar medidas para detectar a atividade típica do ransomware e contê-la.
Mais importante, não ceda às exigências de resgate – isso só dá aos atacantes mais poder e marca você como um alvo para futuros ataques.
A ManageEngine possui algumas ferramentas que podem auxiliar ao combate a ransomware, o Log360 ou FileAudit Plus podem ajudá-lo a monitorar todo e qualquer acesso aos seus backups. Realize a correlação de seus logs com o ManageEngine EventLog Analyzer
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
