A ISH Tecnologia informa que sua equipe de segurança detectou uma possível ação em conjunto entre quatro Ransomwares: Trigona, Nokoyama, Nevada e Snatch. A parceria consiste no compartilhamento de dados, informações chave e modelos de ataque entre um malware com os outros. De acordo com a ordem dos ataques, é perceptível a colaboração entre um e outro, visto que quaisquer dos ataques mencionados aconteceram no período de cerca de um mês (10/02/2023 até 12/03/2023).
Segundo Caíque Barqueta, analista de malware da ISH Tecnologia, todos os subgrupos de Ransomwares compartilham semelhanças entre si no modo de operacional, de sistema e até mesmo layout. Usam a linguagem de programação Rust e C/C++, uma plataforma conectada e interativa para os afiliados e que, apesar de serem variantes distintas, emulam seu modo de criptografia de dados confidenciais.
O início de toda essa cadeia de ataques se dá com o Ransomware Trigona. A invasão desse Cryptolocker acontece por meio de conexões RDP, exploração de vulnerabilidades existentes no sistema e phishing – e-mails falsos que, ao serem acessados, conseguem dados do computador de quem está acessando. Com o acesso aos dados necessários, o Trigona sequestra o site em questão e pede um valor muito alto para que a instituição que sofreu o ataque recupere seu sistema. É a partir desse malware que foi se criando uma rede muito maior.
Depois da efetividade comprovada dos ataques do Trigona a empresa iniciando-se do processo de recuperação acaba por sofrer outro ataque, dias após o primeiro mas, desta vez, pelo grupo de Ransomwares Nokoyama, que começa suas operações levando-se a entender que haja uma possível compra do acesso roubado pelo Trigona ou até mesmo nova exploração de vulnerabilidades já existentes. Os ransomwares abrangidos por esse grupo possuem familiaridade com o Hive, Nevada e o Nokoyama. Por fim, após o segundo ataque, os operadores do Ransomware Nokoyawa utilizaram uma “parceria” com os operadores do Ransomware Snatch, utilizando o site de vazamento de dados para publicações dos dados exfiltrados da organização vítima.
Mas essa colaboração não para apenas por aí: por conta dessa compra das informações, o domínio da instituição estará sempre suscetível a outro ataque, já que essas informações estão sendo compartilhadas entre os diversos parceiros.
Apesar dessa teia entre os diversos grupos que estão por trás dos perigosos ransomwares da internet, Barqueta dá algumas simples dicas para se prevenir dessa possível problema que pode colocar em risco um trabalho e um modo de operação cultivado e aperfeiçoado por anos: o comprometimento com a realização regular de back-ups nas máquinas, atualização constante de softwares, instalação de antivírus e principalmente a conscientização dos colaboradores para não clicar em links suspeitos dão uma possibilidade de controle e um pouco de poder contra essa cadeia de ataques.
