Novo ataque de ransomware: grande resgate solicitado à Universidade de Pisa
O ransomware continua a não nos dar trégua e desta vez foi a Universidade de Pisa que sofreu um ataque muito grave. Às 17h37 do dia 13 de junho, a Universidade Estadual sofreu um grande ataque provavelmente causado pelo ransomware BlackCat do grupo cibercriminoso ALPHV. Atualmente, parece que algumas amostras já foram lançadas na rede e houve um pedido de resgate de 4,5 milhões de dólares . Como sempre, nesses casos, os invasores estabeleceram um bate-papo com a vítima através da dark web para se comunicar e concordar com a forma de pagamento. Além disso, o grupo criminoso alinhou-se com as mais recentes técnicas de pedido de resgate duplo, pelo que além do pagamento para recuperar os seus dados, pedem também um pagamento adicional para evitar a divulgação de parte dos dados já na sua posse.
Como funciona o ransomware BlackCat
Em geral, os ataques de ransomware exploram um vetor viral já inerente aos sistemas ou uma fraqueza humana, como phishing. BlackCat é particularmente sofisticado em comparação com os outros e é usado como RaaS. O grupo de cibercriminosos já comprometeu mais de 60 empresas no mundo e segundo o FBI um dos motivos para maior difusão pode ser dado pelo RUST, considerado uma linguagem de programação muito mais segura que o C/C++.
O ransomware aproveita as credenciais de usuário já públicas para obter o primeiro acesso à infraestrutura da vítima. Uma vez adquirido, ele continua assumindo o usuário do Active Directory e comprometendo os usuários administrativos. Para continuar sua disseminação nos sistemas, o BlackCat usa o Agendador de Tarefas do Windows para configurar GPOs maliciosos do Windows e facilitar a replicação de malware . As atividades essenciais do ransomware são realizadas por meio de alguns scripts do PowerShell que desativam gradualmente os componentes do sistema operacional do host.
Obviamente, o FBI em sua nota de ransomware desencoraja muito o pagamento de resgates aos invasores, mas também entende as dificuldades de proteção de dados corporativos que levam as empresas a pagar.
Evolução do ataque à Universidade de Pisa
A Universidade de Pisa vive momentos de grande dificuldade, pois o resgate inicial de US$ 4,5 milhões está prestes a expirar. Nos próximos dias, o pedido para poder receber seus dados de volta pode até chegar a 5 milhões. No momento, nenhuma comunicação oficial foi divulgada da instituição, mesmo que a autoria do ataque pareça verdadeira. De fato, a quadrilha reivindicou a posse potencial de dados de funcionários e alunos por meio de algumas capturas de tela divulgadas na darkweb.
As primeiras fontes falam de cerca de 54 GB de dados roubados da Universidade, incluindo informações confidenciais de muitos alunos, incluindo senhas em texto não criptografado. Se confirmados, os impactos podem ser enormes para todos os envolvidos no vazamento de dados da Universidade.
Existem muitas ações de mitigação a partir de atividades com usuários finais para aumentar sua conscientização sobre o problema e os riscos relacionados. Além disso, em nível sistêmico é sempre bom tentar implementar o máximo possível a segregação de ambientes e aplicar o princípio do menor privilégio . Essas escolhas, embora difíceis de fazer em sistemas pensados de forma diferente no passado, podem salvar as empresas de movimentos laterais desses malwares. Na verdade, o principal objetivo desse ataque é criptografar todos os dados que encontrar. Para isso, tentará mover-se e replicar-se entre todos os sistemas alcançáveis.
Continuaremos a acompanhar a situação muito delicada da Universidade, esperando que não sejam publicadas mais notícias particularmente negativas.
O artigo Novo ataque de ransomware: grande resgate solicitado na Universidade de Pisa foi escrito em: Tech CuE | Engenharia de close-up .