Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.
A última edição do Ransomware Roundup, referente ao mês de outubro e novembro, destaca o Akira, Knight e NoEscape como os ataques de ransomware emergentes. No que consistem, qual o impacto e quem são as principais vítimas?
Akira
· Visão geral
O Akira é uma variante de ransomware relativamente recente com versões para Windows e Linux que foi lançada em abril de 2023. Tal como muitos atacantes, o grupo responsável por esta variante apenas utiliza o ransomware para encriptar ficheiros depois de invadir a infraestrutura de rede e roubar os dados. Este grupo também utiliza uma tática de extorsão dupla, exigindo um resgate às vítimas em troca da desencriptação dos ficheiros e não divulgação ao público das informações roubadas.
· Vetor de infeção
De acordo com um alerta emitido pelo CERT Índia, o Akira visa normalmente as organizações que utilizam um serviço VPN (rede privada virtual) sem a configuração de autenticação com multi-fator. Outra possibilidade é a compra de um acesso à rede aos atores maliciosos responsáveis pelo acesso inicial.
· Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo ransomware Akira tem como alvo vários sectores da indústria. Embora a indústria transformadora seja o sector mais visado (8%), a diferença é mínima para o sector dos serviços empresariais (6%) e da construção (5%). Quando as organizações vítimas são classificadas por país, os Estados Unidos estão em primeiro lugar (53%). Saiba mais aqui.
Knight
· Visão Geral
O Knight é um grupo de ransomware relativamente recente que apareceu em agosto de 2023. Como muitos atacantes, o grupo responsável por esta variante utiliza táticas de extorsão dupla, onde o ransomware Knight encripta os ficheiros nas máquinas das vítimas e exfiltra os respetivos dados.
O antecessor do Knight, o Cyclops, tinha ferramentas multi-OS para Windows, Linux e Mac OS. Assim, embora o FortiGuard Labs só tenha localizado uma versão Windows do ransomware Knight na altura desta investigação, é provável que outras versões estejam a caminho.
· Vetor de infeção
De acordo com um alerta emitido pelo CERT Itália no início de setembro, o Knight visou organizações italianas com campanhas de phishing utilizando emails com anexos maliciosos. Por sua vez, o malware Remcos e o Qakbot são conhecidos por distribuir o ransomware Knight em dispositivos comprometidos.
· Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo de ransomware Knight tem como alvo vários sectores verticais da indústria. Embora o retalho tenha sido o mais afetado pelo ransomware Knight, o grupo também vitimou organizações da área da saúde, incluindo hospitais, clínicas médicas e consultórios odontológicos, indicando que o agente da ameaça não tem reservas quanto ao impacto sobre as pessoas que precisam de cuidados médicos. Ao classificar as organizações vítimas por país, os Estados Unidos ocupam o primeiro lugar (60%). Saiba mais aqui.
NoEscape
· Visão Geral
O NoEscape é um grupo de ransomware com motivações financeiras que surgiu em maio de 2023. O grupo gere um programa de Ransomware-as-a-Service. O programador cria e fornece as ferramentas pré e pós-infeção necessárias para que os afiliados realizem atividades maliciosas, tais como o comprometimento das vítimas, a exfiltração de dados e a implementação de encriptadores (ransomware). Acredita-se que o grupo de ransomware NoEscape esteja relacionado com o agora extinto grupo de ransomware Avaddon.
· Vetor de infeção
Não estão atualmente disponíveis informações sobre o vetor de infeção utilizado pelo agente de ameaça NoEscape ransomware. No entanto, não é provável que difira significativamente de outros grupos de ransomware.
· Vitimologia
De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo de ransomware NoEscape visou vários sectores verticais da indústria. Os serviços empresariais foram os mais afetados pelo ransomware, seguidos pelos sectores da indústria transformadora e do retalho. As vítimas do ransomware NoEscape também incluem organizações governamentais, hospitais e clínicas médicas. Ao classificar as organizações vítimas por país, os Estados Unidos ocupam o primeiro lugar (33%), seguidos pelo Reino Unido (10%) e França (8%). Ainda na região EMEA, destaque também para a Itália (6%), Espanha (5%), Suíça (4%), Alemanha (3%) e Países Baixos (3%). Saiba mais aqui.