O mundo do ransomware tem um novo agente em plena atividade, o Black Basta, quadrilha responsável por pelo menos 12 ataques contra empresas de todo o mundo ao longo das últimas duas semanas. O foco dos criminosos está no travamento de sistemas e no roubo de dados, com movimento acelerado em prol de ganhos financeiros e pouco tempo para que as organizações atingidas negociem e paguem resgates.
Enquanto os detalhes sobre as origens do grupo ainda são desconhecidos, indícios apontam para o Black Basta como uma nova “marca” de organizações de ransomware já conhecidas. A hipótese mais provável é de envolvimento com o bando Conti, devido ao uso de interfaces similares em sites de resgate e meios de pagamento, além de textos publicados em fóruns da dark web, onde os responsáveis buscam afiliados e interessados.
Seria, apontam os especialistas do MalwareHunterTeam, uma forma de evadir o escrutínio das autoridades e seguir realizando ataques. Enquanto o Conti permanece no foco das autoridades, como Black Basta, o grupo teria realizado ataques contra a Associação Dental Americana e a fornecedora alemã de turbinas Deutsche Windtechnik; estes seriam apenas os alvos cujos dados foram vazados, indicando uma recusa em atender as demandas financeiras dos bandidos, com resgates que podem chegar a US$ 2 milhões.
O ransomware usa serviços do Windows para realizar o travamento dos arquivos, bem como deletar rastros que poderiam indicar as origens da contaminação. Enquanto os dados são encriptados com uma extensão .basta, o wallpaper é modificado para exibir um alerta sobre o ataque, acompanhado de uma nota que contém o link do site para negociação de valores e um número de identificação único para a companhia atingida, que deve ser usado em todo o processo.
A partir do ataque, as empresas têm sete dias para realizar o primeiro contato, senão, amostras dos dados vazados começam a ser publicadas periodicamente no site do Black Basta na dark web. Com o passar do tempo, e em caso de negociação sem resultados, todo o volume furtado é disponibilizado; caso contrário, os criminosos prometem não apenas retirar as informações do ar, mas entregar relatórios com a linha do tempo do comprometimento e o vetor de ataque usado.
Enquanto especialistas em segurança recomendam atenção quanto ao risco de ataques pelo grupo Black Basta, as dicas de proteção permanecem as mesmas dos ataques do Conti. Elas envolvem a atualização de sistemas e o uso de plataformas de proteção de endpoints, assim como um monitoramento da rede em busca de intrusões, a segmentação de servidores para evitar movimentação lateral e campanhas de conscientização contra ataques de phishing para os colaboradores.
Fonte: Canaltech
