RansomEXX e o Egregor são duas famílias de ransomware que ganharam o noticiário nas últimas semanas, após uma série de ataques contra organizações no Brasil e na América Latina. De acordo com nossos especialistas, que analisaram recentemente o comportamento desses grupos em relatórios do Securelist (aqui e aqui), ambos se caracterizam pelo direcionamento a grandes organizações, criptografia dos dados críticos das vítimas, e passaram a intensificar seus ataques neste ano, após a pandemia.
Mais conhecido no Brasil após atacar empresas e instituições locais, o RansomEXX é um trojan altamente direcionado. As amostras do malware analisadas exibem um nome codificado da organização atacada. Foi observado também que o grupo utiliza o nome das vítimas tanto no endereço de e-mail usado para fazer a chantagem, quanto na extensão dos arquivos criptografados.
Ao contrário do visto em outros grupos, o RansomEXX, além de criptografar os arquivos e deixar notas de resgate, não possui funcionalidades adicionais como: comunicação com o servidor de comando e controle (C&C), encerramento de processos em execução, ou truques de anti-análise. Descobrimos que o trojan também está atacando máquinas controladas por sistemas operacionais baseados em Linux.
Egregor, o malware agressivo
Já o Egregor, que na semana passada atacou uma empresa chilena, foi identificado por nós em setembro deste ano. Este ransomware afeta companhias de diversos setores, como logístico (11%), automotivo (9%) e de engenharia (9%), e ainda de agricultura, construção e saúde.
Essa família é considerada a mais agressiva na maneira como negocia e define seus resgates, uma vez que dá às vítimas apenas 72 horas para contato com os autores do ataque. Caso contrário, os dados da vítima são processados para publicação. É o que os especialistas chamam de ‘ransomware 2.0’: além do bloqueio do acesso aos dados, os criminosos buscam aumentar o lucro com ameaças de vazamento, o que, caso concretizado, pode acarretar multas graves às empresas por violação a legislações locais de proteção de dados.
“Recomendamos prestar mais atenção à cultura digital dentro da empresa, sempre atualizando os sistemas operacionais e usando soluções de segurança adequadas“, recomenda Fabio Assolini, especialista sênior de segurança da Kaspersky no Brasil.
Ele ressalta ainda a importância de ter acesso às informações técnicas sobre os novos métodos de infecção por meio dos relatórios de Threat Intelligence (inteligência de ameaças). Com esses dados, os times de segurança podem evitar que a empresa seja vítima de ciberataques.