Ataque de ransomware atinge mais de 15 países e exige grande pagamento pela divulgação de dados

Vários países afetados por este ataque de ransomware © Quem é Danny/Shutterstock

As gangues de crimes cibernéticos GhostSec e Stormous se uniram em ataques generalizados de dupla extorsão.

Um relatório da Cisco Talos observa que dois grupos de ransomware, GhostSec e Stormous, uniram forças em campanhas de ataque de dupla extorsão usando o novo GhostLocker 2.0 para infectar organizações no Líbano, Israel, África do Sul, Turquia, Egito, Índia, Vietnã e Tailândia.

Organizações em vários setores, como tecnologia, academia, manufatura, transporte e governo, têm sido cada vez mais alvo de ataques cibernéticos.

O consórcio que compreende essas duas entidades prevê abordar uma gama diversificada de setores, ao mesmo tempo em que introduz uma iteração atualizada do GhostLocker em novembro de 2023 e revela uma nova plataforma RaaS intitulada STMX\_GhostLocker durante o ano seguinte.

É bom saber👇 17 de dezembro de 2023 às 14h33. Conteúdo patrocinado

Ransomware como serviço causa estragos

Várias opções estão sendo oferecidas aos afiliados graças à nova versão do ransomware como serviço (RaaS) chamada STMX_GhostLocker, lançada pelos grupos de ransomware GhostLocker e Stormous.

Os canais do Telegram e o site de vazamento de dados do ransomware Stormous são os canais escolhidos pelos grupos GhostSec e Stormous para anunciar o roubo de dados.

Em um artigo técnico divulgado esta semana, a Cisco Talos informou que o GhostSec tem como alvo sistemas industriais, infraestrutura crítica e empresas de tecnologia israelenses. Embora o Ministério da Defesa de Israel seja uma alegada vítima, as motivações do grupo parecem estar voltadas principalmente para o lucro e não para ações cibernéticas maliciosas.

As discussões no canal do grupo sugerem que arrecadar fundos para hacktivistas e atores de ameaças é uma das motivações do grupo, pelo menos em parte. Embora o apelido do grupo, GhostSec, se assemelhe ao do notório Ghost Security Group, conhecido pelos seus ataques a sites pró-Estado Islâmico e outros ataques cibernéticos, nenhuma ligação foi confirmada.

O ataque conjunto abrange vários países ao redor do mundo © Cisco Talos

Após um notável esforço colaborativo dirigido a instituições ministeriais cubanas no mês anterior, a organização criminosa Stormous incorporou efetivamente o aplicativo ransomware GhostLocker em sua plataforma pré-existente, conhecida como StormousX.

O roteiro de ataque

O GhostLocker 2.0 criptografa arquivos na máquina da vítima usando a extensão de arquivo.ghost antes de soltar e abrir o arquivo. Os alvos são avisados ​​de que os dados roubados serão divulgados, a menos que entrem em contato com os operadores de ransomware antes que o prazo de sete dias expire.

Os afiliados do ransomware GhostLocker como serviço têm acesso a um painel de controle que lhes permite monitorar o andamento de seus ataques, que são registrados automaticamente no painel. O servidor de comando e controle do GhostLocker 2.0 está geolocalizado em Moscou, uma configuração semelhante às versões anteriores do ransomware.

Os afiliados pagos têm acesso a um gerador de ransomware que pode ser configurado com várias opções, incluindo o diretório de destino de criptografia. Os desenvolvedores configuraram o ransomware para exfiltrar e criptografar arquivos com extensões de arquivo.doc,.docx,.xls e.xlsx (ou seja, arquivos de documentos e planilhas criadas pelo Word).

A iteração atualizada do GhostLocker foi construída usando o dialeto de programação GoLang, enquanto seu precursor foi construído em Python. Apesar desta variação na sintaxe, a função do software mantém um nível proporcional de similaridade, conforme indicado pelo Cisco Talos. Uma distinção digna de nota na versão recente é que ela estende o comprimento da chave de criptografia de 128 para 256 bits.

Hackers têm acesso a um gerador de ransomware © Maksim Shmeljov/Shutterstock

Como repelir o fantasma?

A Cisco recomenda implementar a defesa em profundidade para detectar mais facilmente um ataque, consultar TTPs de grupo e atualizar assinaturas de detecção para a versão mais recente do ransomware GhostLocker.

“O grupo GhostSec também é conhecido por realizar ataques DoS e atacar sites de vítimas. As organizações devem, portanto, estabelecer uma defesa em camadas com zonas desmilitarizadas (DMZ) para que seus servidores web possam operar, isolando esses sistemas públicos”, afirmou a Cisco em comunicado ao site Dark Reading.

Enquanto isso, a Cisco observou que não está claro se os ataques mais recentes do GhostLocker foram bem-sucedidos.

Com base no nosso entendimento atual, não há informações definitivas sobre a magnitude das possíveis vítimas associadas a este incidente. Embora alguns dados possam ser observados no website comprometido, permanece incerto se estes números são precisos e refletem quaisquer transações monetárias que possam ter ocorrido, se é que ocorreram.

A recente operação conjunta da GhostSec e da Stormous na execução de duas campanhas de ransomware demonstra apropriadamente a evolução contínua das ameaças cibernéticas globais, que são cada vez mais colocadas contra empresas em todo o mundo.

Melhor antivírus, comparação em março de 2024

Diante do crescimento exponencial das ameaças cibernéticas, é mais importante do que nunca proteger seus endpoints com um pacote de segurança antivírus digno desse nome. Descubra nossa seleção das melhores proteções multiplataforma em março de 2024. Consulte Mais informação

Fonte: The Hacker News, Cisco Talos

*️⃣ Link da fonte:

The Hacker News, Cisco Talos ,