Um devastador ataque de ransomware da Lockbit teve recentemente como alvo a encantadora cidade de Calvià, em Maiorca, Espanha, que é conhecida pelo seu apelo turístico. Este incidente sublinha a crescente audácia dos grupos de ransomware que visam entidades governamentais e corporativas. ANY.RUN informou que o ataque levou a interrupções de TI, suspendendo todos os prazos administrativos até 31 de janeiro de 2024. ANY.RUN é uma sandbox de malware em nuvem que lida com o trabalho pesado de análise de malware para equipes SOC e DFIR. Todos os dias, 300.000 profissionais usam nossa plataforma para investigar incidentes e agilizar a análise de ameaças para tarefas de Windows e Linux. Se você é analista ou pesquisador de segurança, pode solicitar uma demonstração hoje e obter 14 dias de acesso gratuito ao plano Enterprise. Apesar de nenhum grupo específico de ransomware assumir a responsabilidade, os relatórios indicam uma demanda de 10 milhões de euros (aproximadamente US$ 11 milhões). O prefeito da cidade, Juan Antonio Amengual, afirmou a postura da cidade de não capitular às demandas dos cibercriminosos.
RaaS: democratizando o crime cibernético?
LockBit se destaca não apenas por suas capacidades destrutivas, mas também por seu site surpreendentemente profissional e até mesmo por um programa de recompensa por bugs. Depois de violar um sistema, o LockBit desencadeia um ataque multifacetado:
- Sifonando Credenciais: Ele reúne credenciais para expandir sua posição na rede.
- Desarmando Defesas: O software de segurança é desativado, enfraquecendo ainda mais as defesas da vítima.
- Movimento lateral: O ransomware se propaga pela rede, maximizando seu impacto.
- Exfiltração de dados: dados confidenciais são roubados e enviados para armazenamento em nuvem, potencialmente para aproveitamento adicional.
- Criptografia de arquivos: a criptografia AES com chaves RSA embaralha arquivos críticos, tornando-os inacessíveis.
A análise do Malware Trends Tracker da ANY.RUN revela a classificação atual do LockBit como o 19º malware mais popular em geral. Notavelmente, para ransomware, esse nível de popularidade é relativamente alto.
O LockBit, anteriormente conhecido por atingir pequenas e médias empresas com um pedido médio de resgate de US$ 85.000, aparentemente abandonou seu manual habitual neste ataque em larga escala, levantando preocupações sobre suas táticas em evolução. Para entender melhor o trabalho do LockBit, confira este exemplo em ANY.RUN.
Possíveis causas do ataque
A causa exata do incidente de Calvià permanece desconhecida até que o comitê de TI conclua a investigação. No entanto, considerando as táticas típicas do LockBit, surgem algumas possibilidades:
- Phishing: um funcionário pode ter aberto inadvertidamente um e-mail malicioso (spearphishing), concedendo acesso aos invasores por meio de um link ou anexo baixado.
- Software não atualizado: uma vulnerabilidade em software desatualizado pode ter sido explorada para acesso inicial.
- Força bruta: os invasores podem ter usado técnicas de força bruta para quebrar credenciais VPN ou RDP.
É crucial compreender que estas são apenas suposições fundamentadas em métodos LockBit conhecidos e não devem ser consideradas definitivas até que a investigação oficial revele a verdadeira causa. O ataque do ransomware LockBit em Calvià é um forte lembrete da ameaça contínua que os cibercriminosos representam. Independentemente do tamanho ou do setor, as organizações devem priorizar os princípios básicos da segurança cibernética para fortalecer suas defesas contra a evolução das táticas de ransomware. Ao investir na formação dos funcionários, na manutenção de software atualizado, na aplicação de uma autenticação forte, na implementação de controlos de acesso e na realização de cópias de segurança regulares, as empresas podem aumentar significativamente a sua resiliência contra ataques de ransomware. À medida que as ameaças cibernéticas evoluem, uma abordagem de segurança cibernética proativa e multifacetada é essencial para proteger os ativos digitais e manter a continuidade operacional.
