Um levantamento feito pela ISH Tecnologia revela que empresas do setor financeiro de países como o Brasil são as mais atingidas por uma nova campanha de ransomwares. O grupo é conhecido como “KILLSEC”, e, até o momento, se caracteriza por uma abordagem mais agressiva do que outros grupos: após a infecção, os dados são prontamente criptografados, com prazos para pagamento (exclusivamente em criptomoedas) e recuperação também mais curtos do que o normal.
O material revela que o grupo é relativamente novo, surgindo no cenário de ransomwares em 2024. Sua fase de reconhecimento utiliza ferramentas de OSINT (fonte aberta, como redes sociais ou outras fontes disponíveis publicamente na web) para identificar alvos potencialmente vulneráveis, especialmente, ao que indica a análise dos incidentes já confirmados, em setores que lidam com dados financeiros e de saúde.
O acesso inicial é realizado por meio de duas técnicas: e-mails maliciosos com links ou anexos suspeitos (os chamados ataques de phishing), e exploração de vulnerabilidades em servidores e aplicações web, principalmente os relacionados a sistemas de gerenciamento de conteúdo e controle remoto de máquinas. A ISH também revela que, uma vez com acesso à rede, o KILLSEC implementa comandos para limpar rastros que dificultam a identificação e permitem o acesso aos atacantes mesmo com o reinício ou correção parcial dos sistemas.
Além do Brasil, países como Índia, China e Estados Unidos, e outras regiões na Ásia e Europa, são os principais alvos do grupo. Além do setor financeiro, empresas de tecnologia e ligadas a organizações governamentais encabeçam as mais atingidas, o que sugere uma preferência do grupo por companhias que lidem com infraestruturas críticas.
O levantamento da ISH afirma que o KILLSEC representa uma nova geração de ransomware, que foca não “apenas” na criptografia dos dados, como também em exfiltrar e ameaçar a divulgação de informações sensíveis para aumentar a pressão pelo pagamento. Nas mensagens disponibilizadas pelo grupo, ele “recomenda” que as vítimas não tentem recuperar os dados por conta própria, sob risco de destruição permanente das informações roubadas.
Prevenção
Pelo fato de ser um grupo relativamente novo, existem poucas informações disponíveis sobre estratégias exclusivas do KILLSEC. No entanto, a ISH lista recomendações básicas para casos de incidente de ransomware:
– Realizar backups com frequência, e testar sua integridade;
– Aplicar correções de segurança, e priorizar os patches críticos;
– Segmentar a rede corporativa, e implementar controles de acesso e privilégios;
– Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos e/ou anômalos;
– Configurar filtros de e-mail para bloquear anexos e links suspeitos
– Desenvolver e testar planos de recuperação e continuidade dos negócios, para garantir que a organização consiga operar mesmo durante ou após um ataque.
