Táticas inovadoras e pouco conhecidas estão sendo usadas por uma quadrilha de cibercriminosos na distribuição do ransomware Royal a corporações de todo o globo. Formulários de contato em sites oficiais e até rastreadores de uso de dispositivos aparecem como armas ao lado dos tradicionais links com atualizações fraudulentas e e-mails de phishing, todos servindo para entregar a praga às vítimas.
As mensagens são enviadas pelos formulários oficiais de contato em nome de autoridades financeiras do país de atuação das empresas. Quando respondidas, os criminosos seguem na conversa até induzirem quem está do outro lado a realizar o download de um software ou atualização de sistema, que traz consigo o malware Batloader, usado para instalação de ransomwares e outros tipos de pragas.
Na segunda via de atuação, mais generalizada, anúncios fraudulentos são usados para entregar malware e angariar vítimas a partir da análise de cliques e temas de interesse. Em ambos os casos, há também a exploração de ferramentas de acesso remoto ou servidores abertos, de forma que os bandidos possam implantar as pragas diretamente nas redes de suas vítimas.
Em rotas mais usuais, ainda são utilizados sites falsos que prometem atualizações para softwares corporativos como o TeamViewer, além de e-mails fraudulentos em nome de parceiros comerciais ou reguladores. Tais mensagens trazem links maliciosos ou arquivos comprometidos que, por sua vez, também servem para disseminar as pragas aos alvos de forma direcionada.
Os ataques foram atribuídos a uma quadrilha conhecida como DEV-0569, que é recente no cenário cibercriminoso e não teve afiliação determinada. De acordo com a Microsoft, responsável por emitir alerta sobre os golpes, o foco são os usuários corporativos, a partir dos quais os bandidos podem se movimentar lateralmente por redes e comprometer o máximo de dispositivos possível antes de criptografarem os arquivos e exigirem resgate.
O time de segurança da empresa aponta ainda que, além de realizarem ataques diretamente, o grupo também pode estar interessado em entrar no setor de fornecimento de acesso, vendendo seus comprometimentos a terceiros interessados em realizar ofensivas. Ferramentas de código aberto para desabilitar mecanismos de segurança ou estabelecer permanência também seriam usadas pela quadrilha e são indicativos dessa finalidade.
A campanha de ataques demonstrada pela Microsoft está em andamento desde setembro deste ano, e enquanto o ransomware Royal é utilizado por mais grupos cibercriminosos, os métodos diferenciados ainda seriam uma exclusividade do DEV-0569. Assim, a companhia pede atenção das corporações e a adoção de medidas de segurança avançadas, além da conscientização de funcionários, como forma de conter a onda de golpes.
A segmentação de redes e adoção de medidas de monitoramento, principalmente quanto a processos em execução ou a desativação de recursos de segurança, são bons caminhos para proteção. Medidas de controle de credencial e verificação adicional de acesso também ajudam a identificar problemas em potencial, agindo contra este e tantos outros métodos ofensivos.
Veja também: