Sem escrúpulos, organizado, em rede: Ransomware não é mais apenas um passatempo para hackers entediados, mas um negócio criminoso com alto volume de negócios e apostas. Mas, no final das contas, os cibercriminosos são apenas pessoas que falham até mesmo em ataques de ransomware perfeitamente planejados. Sophos cita algumas falhas.
Um ransomware típico é um ataque sofisticado e guiado por humanos, em que os invasores geralmente permanecem na rede por vários dias ou semanas antes de iniciar suas extorsões. Durante esse tempo, eles circulam pela rede, roubando dados, instalando novas ferramentas, excluindo backups e muito mais.
Quando os invasores cometem erros sob estresse
A qualquer momento, o ataque pode ser detectado e bloqueado, e isso coloca muito estresse nos cibercriminosos que controlam o ataque pelo teclado. Eles devem mudar de tática no meio da implantação ou fazer uma segunda tentativa de implantações planejadas de malware se a primeira falhar. Essa pressão pode levar a erros. Afinal, os gangsters cibernéticos são apenas humanos.
A equipe de resposta rápida da Sophos riu repetidamente sobre ataques malsucedidos de ransomware durante suas análises recentes. Aqui estão as 5 principais falhas de ransomware:
- O Grupo Avadon, que foi solicitado por sua vítima a publicar seus próprios dados - não foi possível restaurar uma parte. O grupo, estúpido demais para entender o que sua vítima tinha em mente, seguiu o anúncio de liberar os dados das vítimas, e a empresa afetada recuperou a posse de seus dados.
- Os atacantes do labirintoque roubou uma grande quantidade de dados de uma empresa, apenas para descobrir que eram ilegíveis: já criptografados pelo ransomware DoppelPaymer. Uma semana atrás.
- Os especialistas da Conti criptografando seu próprio backdoor recém-instalado. Eles instalaram o AnyDesk em uma máquina infectada para proteger o acesso remoto e, em seguida, lançaram o ransomware, que criptografava tudo no dispositivo. AnyDesk também, é claro.
- A gangue Mount Locker, que não conseguia entender por que uma vítima se recusou a pagar depois que uma amostra vazou. por que? Os dados publicados pertenciam a uma empresa completamente diferente.
- os atacantesque deixaram para trás os arquivos de configuração do servidor FTP que usaram para exfiltração de dados. Isso permitiu que a vítima fizesse login e excluísse todos os dados roubados.
“As falhas do adversário que chamaram nossa atenção são uma prova de quão lotado e comercializado o cenário do ransomware se tornou”, disse Peter Mackenzie, gerente da Sophos Rapid Response Team. “Como resultado dessa tendência, você encontra diferentes invasores visando a mesma vítima em potencial. Adicione a pressão do software de segurança e dos respondentes de incidentes e é compreensível que os ataques se tornem propensos a erros.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.