Moneybird Ransomware
O grupo de hackers iranianos Agrius, também conhecido como Pink Sandstorm e anteriormente Americium, desenvolveu recentemente uma nova variedade de ransomware chamada Moneybird. Esse malware ameaçador foi observado visando especificamente organizações israelenses, o que significa uma mudança significativa nas táticas da Agrius.
Índice
Os Cibercriminosos Expandem o Seu Arsenal Ameaçador
Agrius tem um histórico de realizar ataques destrutivos de limpeza de dados contra entidades israelenses, muitas vezes disfarçando-os como incidentes de ransomware. O surgimento do Moneybird, codificado em C++, mostra a crescente experiência do grupo e o compromisso contínuo com a criação de novas ferramentas cibernéticas.
As atividades do grupo podem ser rastreadas até pelo menos dezembro de 2020, quando a Agrius estava envolvida na interrupção de tentativas de invasão visando indústrias de diamantes na África do Sul, Israel e Hong Kong. Anteriormente, a Agrius utilizava um limpador que virou ransomware chamado Apóstolo, baseado na estrutura .NET, e seu sucessor chamado Fantasy. No entanto, Moneybird representa um avanço significativo para o grupo, pois mostra suas capacidades cibernéticas em evolução por meio de sua linguagem de programação C++.
Os Agentes de Ameaças Exploram Vulnerabilidades de Segurança para Obter Acesso
A metodologia de ataque empregada pelo Moneybird Ransomware demonstra um alto nível de sofisticação, começando com a exploração de vulnerabilidades presentes em servidores da Web voltados para a Internet. Essa exploração inicial concede aos invasores um ponto de entrada crucial na rede da organização visada, facilitada pela implantação de um shell da Web ASPXSpy.
Uma vez dentro da rede comprometida, o shell da Web serve como um canal de comunicação para que os invasores executem uma variedade de ferramentas conhecidas especificamente adaptadas para conduzir um amplo reconhecimento do ambiente da vítima. Essas ferramentas permitem que os invasores se movam lateralmente na rede, coletem credenciais valiosas e exfiltrem dados confidenciais.
O Moneybird Ransomware é Equipado com Recursos Avançados de Criptografia
Após a fase inicial de infiltração e reconhecimento, o Moneybird Ransomware é ativado no host comprometido. Este ransomware foi projetado com foco específico na criptografia de arquivos confidenciais localizados na pasta "F:\User Shares". Após a execução, o ransomware implanta uma nota de resgate, pressionando imensamente as vítimas para estabelecer contato em um período de 24 horas, alertando-as sobre o possível vazamento público de seus dados roubados.
O Moneybird Ransomware emprega uma metodologia de criptografia altamente sofisticada, utilizando AES-256 com GCM (Galois/Counter Mode). Essa técnica de criptografia avançada gera chaves de criptografia exclusivas para cada arquivo e anexa metadados criptografados no final. O direcionamento preciso e a criptografia robusta implementada pelo Moneybird tornam a tarefa de restauração de dados e descriptografia de arquivos extremamente desafiadora, se não quase impossível, na maioria dos casos.
Medidas de Segurança Indispensáveis para Se Interromper um Ataque de Ransomware
Medidas de segurança eficazes podem ser implementadas para proteger dispositivos e dados contra ataques de ransomware. Em primeiro lugar, é essencial manter um software de segurança atualizado e robusto. A atualização regular de programas antimalware, juntamente com a ativação de atualizações automáticas, ajuda a proteger contra as ameaças mais recentes.
A implementação de senhas fortes e exclusivas para todas as contas é outra etapa crucial. Isso inclui o uso de uma combinação de letras, números e símbolos, além de evitar senhas comuns e fáceis de adivinhar. Além disso, habilitar a autenticação multifator adiciona uma camada extra de segurança ao exigir etapas adicionais de verificação para acessar as contas.
O backup regular de dados relevantes é vital para mitigar o impacto de um ataque de ransomware. Criar backups offline ou usar soluções de armazenamento em nuvem garante que arquivos críticos possam ser recuperados em caso de criptografia ou perda.
Ser cauteloso ao navegar na Internet e interagir com e-mails é essencial. Os usuários devem ser céticos ao clicar em links suspeitos ou baixar arquivos de fontes não confiáveis. É crucial estar atento e evitar visitar sites potencialmente prejudiciais ou se envolver com e-mails suspeitos, pois eles podem conter cargas de ransomware.
Educar-se e manter-se informado sobre as mais recentes ameaças de segurança cibernética e técnicas de ataque é altamente benéfico. Reconhecer táticas comuns de engenharia social usadas em ataques de phishing e estar ciente dos sinais de uma possível infecção por ransomware pode ajudar os usuários a tomar medidas proativas para prevenir e responder a esses ataques.
A atualização regular de sistemas operacionais, aplicativos e firmware é outro aspecto vital para manter uma segurança forte. Patches e atualizações geralmente incluem correções de segurança que tratam de vulnerabilidades que podem ser exploradas por ransomware e outros malwares.
Ao executar uma combinação dessas medidas de segurança, os usuários podem aumentar a proteção de seus dispositivos e dados contra o impacto devastador de ataques de ransomware.
