Como parte da iniciativa contínua #StopRansomware, foi publicado nos últimos dias um aviso conjunto de cibersegurança para ajudar os defensores de rede a combater ameaças de ransomware. Este aviso, publicado pelo Federal Bureau of Investigation (FBI), pela Cybersecurity and Infrastructure Security Agency (CISA), pelo Multi-State Information Sharing and Analysis Center (MS-ISAC) e pelo Department of Health and Human Services (HHS), é focado na variante de ransomware RansomHub.
Conhecido anteriormente como Cyclops e Knight, o RansomHub é um modelo de ransomware como serviço (RaaS) que ganhou destaque desde sua criação em fevereiro de 2024. Ele criptografou e exfiltrou dados com sucesso de mais de 210 vítimas em vários setores de infraestrutura crítica, incluindo Água e Esgoto; Tecnologia da Informação; Serviços e Instalações Governamentais; Saúde Pública e Cuidados de Saúde; Serviços de Emergência; Alimentos e Agricultura; Serviços Financeiros; Instalações Comerciais; Manufatura Crítica; Transporte; e Comunicações.
Os afiliados do RansomHub utilizam uma estratégia de dupla extorsão, uma tática cada vez mais comum entre grupos de ransomware. Essa abordagem não apenas criptografa os sistemas das vítimas, mas também exfiltra dados sensíveis, aumentando a pressão para que as vítimas paguem o resgate.
Funcionamento na prática
Criptografia de sistemas: Inicialmente, os afiliados do RansomHub comprometem os sistemas das vítimas e criptografam os dados, tornando-os inacessíveis sem a chave de decriptação.
Exfiltração de dados: Simultaneamente, dados sensíveis são exfiltrados dos sistemas das vítimas. Isso pode incluir informações pessoais, financeiras, ou qualquer outro dado crítico.
Nota de resgate: Diferentemente de muitos outros ransomwares, a nota do RansomHub não inclui uma demanda inicial de pagamento. Em vez disso, fornece um ID de cliente e instruções para que as vítimas entrem em contato com o grupo de ransomware por meio de um URL .onion exclusivo, acessível via navegador Tor.
Prazo para pagamento: As vítimas recebem um prazo que varia de três a 90 dias para pagar o resgate. Esse prazo depende do afiliado específico que conduziu o ataque. Se o pagamento não for realizado dentro do prazo estipulado, os dados exfiltrados são publicados no site de vazamento de dados do RansomHub na rede Tor.
Impacto da dupla extorsão
A estratégia de dupla extorsão aumenta significativamente a pressão sobre as vítimas. Mesmo que tenham backups dos dados criptografados, a ameaça de exposição pública de informações sensíveis pode forçar as vítimas a pagar o resgate. Isso é especialmente crítico para organizações que lidam com dados confidenciais, como informações de clientes, segredos comerciais ou dados financeiros.
Os afiliados do RansomHub comprometem sistemas voltados para a internet e endpoints de usuários por meio de phishing, ataques de pulverização de senhas e exploração de vulnerabilidades conhecidas. Uma vez dentro da rede, eles criptografam dados usando o algoritmo de criptografia de curva elíptica Curve 25519 e utilizam criptografia intermitente. A nota de resgate geralmente não inclui uma demanda de resgate ou detalhes de pagamento, mas fornece um ID de cliente e instruções para contato pelo navegador Tor.
Recomendações de mitigação
O aviso enfatiza a importância de implementar medidas robustas de cibersegurança para mitigar o risco de incidentes de ransomware. Os defensores de rede são incentivados a seguir as recomendações descritas no aviso para proteger suas organizações de forma eficaz. Confira algumas recomendações:
• Segmentação de rede:
Esse processo é usado para dividir uma rede maior em seções menores para melhorar a segurança e o desempenho. Existem dois tipos principais:
Segmentação Física: Usa hardware como roteadores e switches para separar a rede.
Segmentação Lógica: Utiliza software para criar sub-redes ou VLANs, facilitando a gestão sem necessidade de hardware adicional.
• Políticas de senhas: Seguir as orientações do NIST para políticas de senhas.
• Validação de controles de segurança: Garantir que as organizações validem seus controles de segurança a partir de testes e exercícios.
Ao priorizar a segurança cibernética e adotar uma abordagem proativa, as empresas de infraestruturas críticas podem não apenas proteger seus próprios interesses, mas também contribuir para a resiliência e segurança de toda a comunidade.
A luta contra o ransomware é um esforço contínuo e coletivo, e a vigilância constante é essencial para manter a integridade e a confiança nos serviços críticos que sustentam nossa sociedade.
Para informações mais detalhadas e recursos adicionais, acesse stopransomware.gov (USA).
Você também pode saber mais sobre o assunto acessando as fontes elencadas a seguir.
Recursos:
#StopRansomware é uma abordagem de todo o governo americano que oferece um local central para recursos e alertas sobre ransomware.
• Recurso para reduzir o risco de um ataque de ransomware: Guia #StopRansomware.
• Serviços de higiene cibernética sem custo: Serviços de Higiene Cibernética e Avaliação de Prontidão para Ransomware.
• Portal de Cibersegurança HPH do Departamento de Saúde e Serviços Humanos: Hospeda os CPGs HPH e links para recursos de cibersegurança do HHS.
Referências:
• Ransomware Roundup – Knight | FortiGuard Labs (fortinet.com)
• Knight Ransomware – X-Industry – Red Sky Alliance
• Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat (uptycs.com)
• Knight ransomware distributed in fake Tripadvisor complaint emails (bleepingcomputer.com)
Todo esse processo se aplica a empresas americanas ou multinacionais quais tenham operações nos Estados Unidos. Por enquanto no Brasil ainda não temos um processo centralizado, porém podemos reportar sempre para as autoridades, dependendo do setor, jurisdição e compliance regulatório.
Ronaldo Andrade, CISO (Chief Information Security Officer) na Horiens.
