Os setores mais prejudicados pelo ransomware Conti são o retalho, a indústria e a construção, assim como a administração pública e o setor da saúde
A Sophos detetou inúmeros ataques confirmados do ransomware Conti, um ataque através de encriptação de dados e posterior pedido de resgate, que é executado de forma manual por cibercriminosos e aplica técnicas de dupla extorsão às suas vítimas. Depois de acederem às redes empresariais, os atacantes roubam os dados dos seus alvos, encriptam-nos e ameaçam publicar a informação furtada no website “Conti News” se a empresa não pagar o resgate. A Sophos identificou já a publicação de dados roubados com recurso ao ransomware Conti a pelo menos 180 organizações, apenas nos últimos meses. Os investigadores da Sophos e os especialistas da equipa Sophos Rapid Response detetaram múltiplos ataques do ransomware Conti nos últimos seis meses, mostrando que esta é uma ameaça global que afeta sobretudo empresas da Europa Ocidental e América do Norte. Desde a primeira aparição do Conti, os investigadores assumiram que era um sucessor do Ryuk, ainda que se tenha identificado uma diferença fundamental no grupo criminoso responsável pelo ransomware Conti: os cibercriminosos que lançam este tipo de ataque utilizam técnicas de “dupla extorsão”, ameaçando filtrar os dados roubados de modo a obrigar as vítimas a pagar o resgate. Com recurso à informação publicada pelos atacantes no website “Conti News”, a Sophos construiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. Embora este tipo de ataque possa dirigir-se a qualquer setor, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública. “Nos ataques dirigidos comandados por humanos, os adversários podem adaptar-se e reagir a situações que se alteram em tempo real”, afirma Peter Mackenzie, Manager da Sophos Rapid Response. “No caso do último ataque do ransomware Conti identificado pela Sophos, os criminosos acederam simultaneamente a dois servidores. A equipa de TI da empresa atacada detetou o ataque e desativou um dos servidores, acreditando que assim estaria a impedir o ataque a tempo. No entanto, os cibercriminosos mudaram simplesmente de servidor e continuaram a partir do segundo. Ter um ‘Plano B’ é uma estratégia habitual nos ciberataques encabeçados por pessoas; e serve como lembrança de que, por muito que consigamos deter uma atividade suspeita na nossa rede, isso não significa que o ataque tenha acabado”. Nas empresas que não contam com uma equipa especializada em segurança é o departamento de TI que está na primeira linha de combate aos ataques de ransomware. “São eles que chegam ao trabalho numa certa manhã e encontram tudo bloqueado e uma nota de resgate nos ecrãs dos computadores, por vezes seguida de e-mails e até chamadas ameaçadoras”, acrescenta Mackenzie. Com base na sua experiência, os especialistas em deteção e resposta a ameaças da Sophos criaram uma lista de ações simples para ajudar os responsáveis de TI nas primeiras horas e dias depois de um ataque de ransomware como o Conti, oferecendo-lhes formas de pedir ajuda e de estabelecer as bases para um futuro mais seguro:
|