O RansomEXX e o Egregor são duas famílias de ransomware que ganharam o noticiário nas últimas semanas, após uma série de ataques contra organizações no Brasil e na América Latina. De acordo com especialistas da Kaspersky, que analisaram recentemente o comportamento desses grupos em relatórios do Securelist (ver aqui e aqui), ambos se caracterizam pelo direcionamento a grandes organizações, criptografia dos dados críticos das vítimas, e passaram a intensificar os seus ataques neste ano, após a pandemia.

Mais conhecido no Brasil após atacar empresas e instituições locais, o RansomEXX é descrito como um trojan altamente direcionado. As amostras do malware analisadas exibem um nome codificado da organização atacada. Foi observado também que o grupo utiliza o nome das vítimas tanto no endereço de e-mail usado para fazer a chantagem, quanto na extensão dos arquivos criptografados.

Ao contrário do que é visto em outros grupos, o RansomEXX, além de criptografar os arquivos e deixar notas de resgate, não possui funcionalidades adicionais como: comunicação com o servidor de comando e controle (C&C), encerramento de processos em execução, ou truques de anti-análise. Em seu relatório, a Kaspersky afirma ter descoberto que o trojan também está atacando máquinas controladas por sistemas operacionais baseados em Linux.

Já o Egregor, que, na semana passada, atacou uma empresa chilena, foi identificado pela Kaspersky em setembro deste ano. Segundo os analistas da empresa de cibersegurança, o ransomware afeta companhias de diversos setores, como logístico (10,94%), automotivo (9,38%) e de engenharia (9,38%), e ainda de agricultura, construção e saúde.

Essa família de ransomware é considerada a mais agressiva na maneira como negocia e define seus resgates, uma vez que dá às vítimas apenas 72 horas para contato com os autores do ataque. Caso contrário, os dados da vítima são processados para publicação. É o que os especialistas chamam de ‘ransomware 2.0’: além do bloqueio do acesso aos dados, os criminosos buscam aumentar o lucro com ameaças de vazamento, o que, caso concretizado, pode acarretar multas graves às empresas por violação a legislações locais de proteção de dados.

"Para proteger os dados da companhia de ataques de ransomware, recomendamos prestar mais atenção à cultura digital dentro da empresa, sempre atualizando os sistemas operacionais e usando soluções de segurança, como Kaspersky Endpoint Detection and Response, para evitar ataques em um estágio inicial", recomenda Fabio Assolini, especialista sênior de segurança da Kaspersky no Brasil.

Assolini ressalta ainda a importância de ter acesso às informações técnicas sobre os novos métodos de infecção por meio dos relatórios de Threat Intelligence (inteligência de ameaças). Com esses dados, os times de segurança podem evitar que a empresa seja vítima de um ciberataques e este é o principal objetivo de compartilhar publicamente os detalhes das análises dos especialistas da Kaspersky.

Para conferir os relatórios públicos na íntegra, acesse o Securelist (conteúdo em inglês):

• RansomEXX Trojan attacks Linux systems (acesse aqui).

• Targeted ransomware: it’s not just about encrypting your data! (acesse aqui).

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles.