A Kaspersky publicou uma nova versão de uma ferramenta para recuperar arquivos bloqueados pelo ransomware Conti, ao levar em conta as novas modificações do malware que se tornaram públicas recentemente. O Conti tem dominado o cenário do cibercrime desde 2019, porém dados desse grupo vieram a público em março de 2022, incluindo seu código fonte, após um conflito interno causado pela crise geopolítica na Europa.
A modificação em questão foi publicada por um grupo de ransomware desconhecido e tem sido usada para ataques contra empresas e instituições estatais. No final de fevereiro de 2023, os especialistas da Kaspersky descobriram essa nova série de dados divulgados em fóruns, que continham 258 chaves de acesso privadas, o código fonte do malware e alguns decodificadores pré-compilados.
Este ransomware surgiu no final de 2019 e esteve muito ativo ao longo de 2020, chegando a representar mais de 13% dos ataques desse tipo no período. No entanto, quando o código fonte foi divulgado há um ano, novas modificações dele foram criadas por diferentes grupos de cibercriminosos. A variação do malware, que teve suas chaves publicadas, havia sido utilizada em diversos ataques contra empresas e instituições estatais e foi descoberta por especialistas da Kaspersky em dezembro de 2022.
As chaves de acesso privadas que foram divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves), e algumas delas têm informações previamente decifradas e arquivos comuns, como documentos e fotos. Com isso, se presume que estes últimos são alguns arquivos de teste enviados por vítimas aos golpistas para se certificar de que os arquivos podiam ser decodificados. Das pastas, 34 mostraram explicitamente empresas e agências governamentais. Assumindo que cada pasta corresponde a uma vítima e que os decodificadores foram gerados por aqueles que pagaram o resgate, é possível sugerir que 14 das 257 vítimas cederam à chantagem.
Após analisar os dados, os especialistas da Kaspersky lançaram uma nova versão do decodificador gratuíto para ajudar as vítimas desta modificação do ransomware Conti. O código de decodificação e todas as 258 chaves de acesso foram adicionados à ferramenta RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, ela foi disponibilizada também ao site “No Ransom” da Kaspersky.
“O ransomware se tornou a maior preocupação das organizações quando se trata de ameaça digital. No entanto, todas as táticas, técnicas e procedimentos (TTPs) usados nesse tipo de ataque são conhecidos, pois esses grupos operam com muitas semelhanças e nós os acompanhamos a muito tempo, catalogando e identificando novas mudanças de comportamento. Neste contexto, a prevenção dos ataques deveria ser algo mais simples. Dito isso, temos orgulho em compartilhar a ferramenta de recuperação de arquivos sequestrados pelo Conti. Mas reforçamos que a melhor estratégia contra ransomware é a prevenção e o bloqueio precoce desses ataques”, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Para proteção pessoal e de negócios em relação a ataques de ransomware, a Kaspersky sugere:
- Não exponha os serviços de conexão remota (RDP – remote desktop protocol) em redes públicas, a menos que seja absolutamente necessário. Além disso, utilize senhas fortes. Esta ferramenta é uma das mais exploradas para iniciar um ataques de ransomware.
- Instale as atualizações de segurança nas soluções de VPN, pois esta é outra forma comum usada pelos criminosos para obter acesso à rede corporativa.
- Concentre sua estratégia de defesa na detecção de movimentos laterais (processo pelo qual os invasores se espalham a partir da infecção inicial para toda a rede corporativa) e no roubo de dados. Revise, principalmente, todos os envios de dados para fora da rede corporativa — com isso, as chances de identificar um vazamento e impedí-lo aumenta.
- Faça cópias (backup) de segurança de seus dados regularmente. Certifique-se de que pode acessar os dados rapidamente em caso de emergência.
- Use soluções como o Kaspersky Endpoint Detection and Response (EDR) Expert e serviços de gerenciamento de segurança, como o Kaspersky Managed Detection and Response, para ajudar na identificação e bloqueio de ataques em estágios iniciais, pois assim é possível evitar que os criminosos atinjam seus objetivos finais.
- Dê acesso à equipe de segurança a relatórios de ameaças atualizados com as mais recentes TTPs usados em campanhas de ransomware (e em outros ciberataques). Com essa informações, a equipe conseguirá se preparar para identificar, bloquear e responder rapidamente a todas as tentativas de ataque.