A Microsoft diz que uma gangue de ransomware que se autodenomina H0lyGh0st pode ser patrocinada pelo governo norte-coreano como uma forma de o país compensar sua economia em dificuldades.
Os ataques de ransomware geralmente são encenados por grupos criminosos privados para ganhar dinheiro por meio da vitimização de organizações vulneráveis. Mas o que acontece quando um Estado-nação hostil patrocina essa mesma tática? Um novorelatório do Microsoft Threat Intelligence Center examina uma série de ataques de ransomware com vínculos com a Coreia do Norte.
Desde junho de 2021, um grupo de cibercriminosos apelidado de DEV-0530 pela Microsoft, mas que se autodenomina H0lyGh0st, lançou ataques de ransomware principalmente contra pequenas e médias empresas em diferentes países. A gangue criptografa arquivos confidenciais em um sistema comprometido, envia à vítima um arquivo de amostra como prova do ataque e exige pagamento em forma de Bitcoin para descriptografar os dados. Se o resgate for pago, os arquivos provavelmente serão restaurados. Caso contrário, o grupo ameaça enviar os dados aos clientes da vítima ou publicá-los nas redes sociais.
Além
de ganhar dinheiro, H0lyGh0st tenta distorcer seus crimes alegando que eles
também estão sendo cometidos por razões magnânimas. Em seu site .onion, o grupo
afirma que está lutando para diminuir a distância entre ricos e pobres,
ajudando os famintos e aumentando a conscientização sobre segurança de suas
vítimas. A gangue ainda tem seu próprio formulário de contato através do qual
responderá às vítimas, explicando suas vulnerabilidades e informando como
descriptografar os arquivos comprometidos assim que o resgate for pago.
A
conexão norte-coreana entra em jogo de duas maneiras. Analisando os horários e
padrões das operações H0lyGh0st, a Microsoft disse que encontrou atividade nos
fusos horários UTC+8 e UTC+9. UTC+9 é o fuso horário usado na Coreia do Norte.
Cobertura
de segurança de leitura obrigatória
Além
disso, a Microsoft disse que também viu certas conexões entre H0lyGh0st e um
grupo chamado Plutonium. Uma gangue norte-coreana de crimes cibernéticos, a
Plutonium atacou as indústrias de energia e defesa na Índia, Coreia do Sul e
Estados Unidos. Os dois grupos usaram a mesma infraestrutura e controladores de
malware personalizados com nomes semelhantes. Além disso, a Microsoft descobriu
contas de e-mail H0lyGh0st se comunicando com as contas de invasores conhecidos
do Plutonium.
Estados-nação,
mesmo hostis, costumam empregar ataques cibernéticos para espionagem ou fins
políticos e militares. Por que um país recorreria ao ransomware? A Microsoft
citou uma possível motivação.
Supondo
que o governo norte-coreano esteja patrocinando diretamente os ataques
H0lyGh0st, pode estar fazendo isso para trazer dinheiro para ajudar a sustentar
sua própria economia. Atingida por sanções, desastres naturais, bloqueios do
COVID-19 e outras calamidades, a Coreia do Norte viu sua economia enfraquecer.
Para tentar se recuperar de sua própria crise financeira, o país poderia estar
patrocinando ataques de ransomware nos últimos anos.
“Estados-nação
mais pobres ou fortemente embargados podem encontrar nos ataques de ransomware
um meio atraente de levantar capital que não está disponível para eles por
meios normais”, disse Chris Clements, vice-presidente de arquitetura de
soluções da Cerberus Sentinel. “As criptomoedas possibilitaram transferências monetárias
em larga escala fora dos sistemas financeiros tradicionais que possuem
regulamentações e controles para impedir certas ações. Um grupo de crimes
cibernéticos com financiamento limitado pode reconhecer grandes retornos ao
visar os alvos mais fáceis, como pequenas empresas.”
No
entanto, a Microsoft também admite que o governo norte-coreano pode não estar
por trás desses incidentes de ransomware, em parte porque os ataques
patrocinados pelo Estado geralmente visam uma gama muito maior de vítimas além
daquelas visadas pelo H0lyGh0st. Membros de H0lyGh0st e Plutonium podem
simplesmente estar trabalhando individualmente para atacar organizações para
seu próprio ganho pessoal.
Como
proteger sua empresa contra ataques de ransomware
Independentemente
do responsável por esses ataques de ransomware, todas as organizações devem
tomar medidas para se proteger. Para esse fim, a Microsoft oferece várias
recomendações.
- Configure e teste regularmente um processo para fazer backup e restaurar seus dados críticos.
- Use os Indicadores de comprometimento detalhados no relatório da Microsoft para determinar se algum dos indicadores existe em seu ambiente.
- Aplique a autenticação multifator em todas as contas, dispositivos e locais o tempo todo.
- Configure métodos de autenticação sem senha, como Windows Hello, chaves FIDO ou Microsoft Authenticator para todas as contas com suporte. Para gerenciar contas que ainda precisam de senhas, use aplicativos autenticadores como o Microsoft Authenticator for MFA.
- Desative toda a autenticação herdada.
- Para clientes corporativos da Microsoft, implemente o Azure Security Benchmark e siga as práticas recomendadas para protegera infraestrutura de identidade . Certifique-se de que todas as contas de administrador de nuvem e administrador de locatário estejam protegidas com o mesmo nível de segurança e higiene de credenciais usado para administradores de domínio.
- Para empresas de pequeno e médio porte que usam o Microsoft Defender for Business ou o Microsoft 365 Business Premium, ative a proteção fornecida na nuvem no Microsoft Defender Antivirus para bloquear variantes novas e desconhecidas de malware e habilitar a proteção contra adulteração para impedir que invasores interrompam seus serviços de segurança.
- Use a proteção de rede para impedir que aplicativos e usuários acessem domínios mal-intencionados e habilite a investigação e a correção no modo automatizado para que o Microsoft Defender for Endpoint possa agir em alertas para mitigar as violações.
- Use a descoberta de dispositivo para localizar dispositivos não gerenciados que podem ser adicionados ao Microsoft Defender for Endpoint e proteger as identidades e credenciais do usuário usando o Microsoft Defender for Identity.
“As
melhores defesas que a maioria das organizações pode fazer para prevenir
ransomware, e realmente todos os hackers e malwares, é mitigar a engenharia
social, corrigir seu software, usar MFA resistente a phishing e usar senhas
diferentes e fortes em cada site e serviço”, disse Roger. Grimes, evangelista
de defesa orientado a dados da KnowBe4. “Essas quatro defesas, se feitas com
100% de eficácia, eliminariam 99% do risco de todos os hackers e malwares.”
Sem comentários:
Enviar um comentário