A Sophos anuncia no artigo do Sophos X-Ops Active Adversary, intitulado “Multiple Attackers: A Clear and Present Danger”, que Hive, LockBit e BlackCat, três gangues proeminentes de ransomware, atacaram a mesma rede consecutivamente. Os dois primeiros ataques ocorreram dentro de duas horas, e o terceiro aconteceu duas semanas depois. Para isso, cada grupo de ransomware deixou seu próprio pedido de resgate, e alguns dos arquivos foram criptografados triplamente.
“Já é ruim o suficiente receber uma demanda de ransomware, quanto mais três”, diz John Shier, consultor sênior de segurança da Sophos. “Ter múltiplos invasores cria um nível totalmente novo de complexidade para recuperação, principalmente quando os arquivos de rede são criptografados triplamente. Nesses casos, a segurança cibernética que inclui prevenção, detecção e resposta é fundamental para organizações de qualquer tamanho e tipo – nenhuma empresa está imune”.
O documento descreve ainda casos adicionais de ataques cibernéticos simultâneos, incluindo criptomineradores, trojans de acesso remoto (RATs) e bots. No passado, quando múltiplos invasores visavam o mesmo sistema, os ataques geralmente ocorriam ao longo de vários meses ou anos. Dessa vez, os casos descritos no estudo da Sophos ocorreram em um intervalo de dias ou semanas – e, em um dos casos, concomitantemente -, geralmente com diferentes invasores acessando a rede de um alvo por meio do mesmo ponto de entrada vulnerável.
Normalmente, os grupos criminosos competem por recursos, dificultando uma operação simultânea com vários invasores. Os criptomineradores normalmente abatem concorrentes no mesmo sistema, e os RATs de hoje geralmente destacam a desativação de bots como um recurso em fóruns criminais. No entanto, no ataque que envolveu os três grupos de ransomware, por exemplo, o BlackCat – última gangue de ransomware a acessar o sistema-alvo – não apenas excluiu vestígios de sua própria atividade, mas também apagou atividades anteriores do LockBit e Hive. Em outro caso, um sistema foi infectado pelo ransomware LockBit e, cerca de três meses depois, membros do Karakurt Team, grupo vinculado ao ransomware Conti, conseguiram aproveitar o backdoor que o LockBit criou para roubar dados e utilizá-los como pedido de resgate.
“No geral, os grupos de ransomware não se posicionam abertamente como antagônicos uns dos outros. Na verdade, o LockBit explicitamente não proíbe afiliados de trabalhar com concorrentes, conforme indicado no levantamento da Sophos”, explica Shier. “Não temos evidências de colaboração, mas é possível que isso se deva ao fato de os invasores reconhecerem que há um número finito de ‘recursos’ em um mercado cada vez mais competitivo. Ou talvez eles acreditem que quanto mais pressão é colocada em um alvo – ou seja, múltiplas investidas – é mais provável que as vítimas paguem. Talvez eles estejam discutindo em alto nível, firmando acordos mutuamente benéficos, por exemplo, em que um grupo criptografa os dados e o outro exfiltra. Em algum momento, essas gangues terão que decidir como se sentem em relação à cooperação – se devem adotá-la ainda mais ou se tornar mais competitivas – mas, por enquanto, o campo está aberto para vários ataques de diferentes grupos”.
A maioria das invasões iniciais para os ataques destacados no artigo ocorreu por meio de uma vulnerabilidade não corrigida, com algumas das mais notáveis sendo Log4Shell, ProxyLogon e ProxyShell, ou servidores Remote Desktop Protocol (RDP) não seguros e mal configurados. Na maioria dos casos envolvendo diversos invasores, as vítimas não conseguiram remediar o ataque inicial de forma eficaz, deixando a porta aberta para futuras atividades cibercriminosas. Nesses casos, as mesmas configurações incorretas de RDP, bem como aplicativos como RDWeb ou AnyDesk, tornaram-se um caminho facilmente explorável para ataques adicionais. Na verdade, servidores RDP e VPN expostos são algumas das listagens mais populares vendidas na dark web.
“Conforme observado no último Active Adversary Playbook, em 2021 a Sophos observou organizações sendo vítimas de vários ataques simultaneamente e indicou que essa pode ser uma tendência crescente”, explica Shier. “Embora o aumento de múltiplos invasores ainda seja baseado em evidências anedóticas, a disponibilidade de sistemas exploráveis oferece aos cibercriminosos uma ampla oportunidade de seguir nessa direção”.