No início deste mês, por conta de um alerta divulgado pelo Federal Bureau of Investigation (FBI) dos Estados Unidos da América (EUA), uma gangue responsável por um ransomware chamado de Cuba ficou famosa por conseguir evitar a proteção de diversos sistemas e atacar poucas vítimas, porém foi um dos grupos mais lucrativos nos seus ataques.
Ransomware é um tipo de malware que limita o acesso ao sistema infectado com um bloqueio e então a gangue exige um resgate geralmente feito em criptomoedas para que o acesso possa ser restabelecido e assim são feitos os ataques da gangue.
Informações divulgadas pelo FBI (Foto: FBI / Divulgação)
Segundo documentos divulgados pelo FBI na quinta-feira, 2 de dezembro de 2021, o total de organizações atacadas foi de 49, com a soma dos resgates exigidos sendo de US$ 76 milhões (R$ 433 milhões) no total. Até agora só foram pagos US$ 43,9 milhões, cerca de R$ 250 milhões, nos setores mais críticos e importantes que foram atacados, como financeiro, saúde, manufatura e TI.
As empresas alvo são, na maioria das vezes, de porte médio. O processo do ataque começa com o malware Hancitor, um trojan de alto risco, que chega no computador através de campanhas de phishing, explorando a vulnerabilidade da conta de e-mail corporativa Microsoft Exchange, credenciais comprometidas ou as prosaicas conexões RDP de pessoa para pessoa. Quando consegue acesso ao computador da vítima, abre o caminho para o ransomware.
Ainda segundo o FBI, o Hancitor ativa o CobaltStrike, um framework que utiliza os próprios arquivos legítimos do Windows como PowerShell, PsExec e outros para conseguir acesso de administrador no sistema do computador. Ao ter posse disso a gangue usa a própria interface (API) do sistema perdido para acessar um servidor remoto e baixar o ransomware que bloqueia o computador. Nesse momento todos os arquivos passam a exibir a extensão .cuba, e se as empresas se recusam a pagar o resgate, os cibercriminosos ameaçam divulgar tudo na dark web.
Foto destaque: Reprodução / Tecmundo
