O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) emitiu um comunicado de alerta, pois recebeu informações a respeito de uma nova onda de ataques de Ransomware, usando uma variante denominada "Royal Ransomware".
Esta variante, com incidentes identificados pelo menos desde setembro de 2022, utiliza ataques de phishing com arquivos PDF infectados para ganhar acesso à rede, além de explorar vulnerabilidades em protocolos inseguros, como RDP. Credenciais de VPN também são utilizadas como vetor inicial de ataque.
Além das redes tradicionais baseadas em sistemas Windows, o Royal Ransomware também tem como alvos sistemas Linux e servidores ESXi, potencialmente impactando datacenters corporativos. A operação do Ransomware envolve a utilização de diferentes recursos de tunelamento para comunicação com servidores de comando e controle. Desta forma, consegue baixar e instalar diversas ferramentas que permitem movimentação lateral e persistência, buscando formas de acesso ao controlador do domínio para execução de operações avançadas na rede.
Além da criptografia de arquivos, o Ransomware realiza o esquema de dupla extorsão, executando exfiltração de dados corporativos e ameaçando divulgá-los publicamente caso a vítima não pague o resgate solicitado.
O CTIR Gov reforça às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições sobre a necessidade de adoção de medidas de prevenção.
