No passado já vimos os ransomware a evoluírem de forma a maximizarem a sua eficácia, como encriptar parcialmente os ficheiros grandes. Agora, temos outra novidade. Uma nova operação de ransomware chamada Prinz Eugen, adoptar uma estratégia invulgar mas totalmente lógica: começa por encriptar primeiro os ficheiros modificados mais recentemente. Esta abordagem tem como objectivo aumentar a pressão sobre as vítimas ao atingir dados que estão em utilização activa e que tendem a ser mais importantes para as operações diárias das organizações.
A análise revelou que os atacantes recorrem frequentemente a ferramentas legítimas de administração remota e técnicas conhecidas, utilizando recursos já presentes nos sistemas comprometidos para evitar levantar suspeitas. O acesso inicial parece ser feito através de credenciais RDP roubadas, seguindo-se a instalação manual do malware. Em alguns casos foram também observadas ferramentas de gestão remota e contas de administrador criadas para garantir persistência no sistema.
Outra característica incomum é a ausência de uma nota de resgate ou alterações ao ambiente de trabalho da vítima. Em vez disso, os criminosos optam por comunicar através de canais externos, como email, telefone ou portais na dark web, dificultando a detecção automática da fase de extorsão. Os investigadores já identificaram várias organizações afectadas e alertam que esta metodologia mais discreta pode tornar os ataques mais difíceis de investigar.
Como sempre, importa estar consciente que ninguém esta livre de ser vítima deste tipo de ataques, e importa ter uma solução de backups que permita recuperar rapidamente nesta eventualidade.
No comments:
Post a Comment (problemas a comentar?)