De acordo com os especialistas da Lumu, ressurgimento da ameaça tem preocupado organizações de todo o mundo
Ativo desde o começo de 2019, o Clop Ransomware nasceu com foco na criptografia de arquivos individuais. Com o tempo, o ataque passou a mirar empresas e redes inteiras, com novos recursos capazes de exfiltrar dados de grandes corporações em todo o mundo, inclusive na América Latina.
Mesmo com diversas tentativas de remoção, a ameaça sobreviveu e tem ressurgido com frequência neste ano – supostamente 130 organizações foram violadas somente em fevereiro. De acordo com especialistas da Lumu Technologies, a tendência é que as invasões do tipo continuem a ocorrer.
“Isso porque o Clop tem sido um dos ransomware como serviço (RaaS) mais ativos nos últimos anos, visando quase qualquer tipo de organização. Ele foi conectado a ataques que afetam organizações públicas e privadas de diferentes setores, como manufatura, saúde, educação e energia. Ou seja, é muito versátil”, pontua German Patiño, vice-presidente de vendas da Lumu Technologies para América Latina.
“Apenas para dar uma noção da escala do impacto, nossa equipe de inteligência de ameaças descobriu que, no final de março, o buscador Shodan mostrava 1.264 instâncias do software de transferência de arquivos GoAnywhere expostas à internet – embora nem todas sejam vulneráveis, elas são visíveis para os invasores”, completa Patiño.
De acordo com o executivo, entre os fatores que potencializam a ameaça do Clop Ransomware estão sua aparência legítima, a capacidade de eliminar processos e criptografia, o fato de desativar recursos de reparo do Windows para que o sistema não possa ser facilmente restaurado, além de oferecer risco de extorsão dupla e se movimentar lateralmente pelas redes das organizações atingidas.
Entre as principais iniciativas que podem ser tomadas a fim de mitigar o ataque, os especialistas da Lumu destacam:
1) Manter os sistemas atualizados: as atualizações para Windows devem ser aplicadas o mais rápido possível para evitar qualquer tipo de comprometimento do sistema.
2) Procurar intencionalmente por conexões com servidor de comando e controle [C&C]: depois de fechar a porta publicamente conhecida para os invasores, é importante detectar se eles conseguiram entrar na organização. A melhor maneira de fazer isso é intencionalmente, por meio da análise dos metadados da rede.
3) Ficar atento aos movimentos laterais: caso os atacantes estejam dentro da organização, eles vão tentar se espalhar pela rede, infectando o máximo de endpoints que puderem. Desta forma, é fundamental ter visibilidade desse comportamento anômalo.
4) Atualizar as credenciais de acesso: como o objetivo final dos invasores é controlar o console do administrador, eles sempre tentam comprometer as credenciais de acesso, por isso é preciso evitar o risco de ter qualquer um dos painéis de administração – qualquer que seja o sistema integrado – acessíveis aos adversários.
5) Limitar a superfície de ataque: o que deve ser feito por meio da implementação de controles de mitigação de riscos e inspeção de qualquer instalação recente de aplicativos aparentemente legítimos. É importante ter atenção à criação de usuários incomuns e à eventual desativação do sistema de servidor de licenciamento integrado.
