A Kaspersky, empresa russa de cibersegurança, revelou a existência de um novo ataque do grupo Lockbit,no qual os cibercriminosos criaram uma variante do malware (software desenvolvido para atacar uma rede de computadores ou um servidor) de encriptação que tem a capacidade de se auto-propagar.
O mais recente ataque aconteceu na Guiné-Bissau e foram acedidas infraestruturas através do roubo de dados a um administrador com cargo relevante na empresa. A Kaspersky afirma que “outras regiões do globo também sofreram ataques de ransomware [baseado num código de malware que tinha sido divulgado em 2022], embora nenhum deles tenha as características sofisticadas observadas neste caso”.
O ransomware é um software malicioso utilizado para extorsão, e que pode bloquear um computador de modo a que depois seja exigido um resgate para o desbloquear. Neste caso em concreto os cibercriminosos, precisam apenas de infetar um utilizador da rede para que o malware se propague pela rede inteira.
A Kaspersky fez uma análise da qual retirou diversas conclusões da forma como o grupo LockBit atua. Falsificam a identidade aproveitando as credenciais adquiridas de forma ilegal e fazem-se passar pelo administrador do sistema com direitos privilegiados, o que significa que conseguem aceder às áreas mais importantes da empresa.
O software malicioso utilizado tem uma capacidade de auto-propagação, o que quer dizer que se espalha autonomamente pela rede, conseguindo desativar o Windows Defender, ou encriptar partilhas de rede. O malware tem a capacidade de infetar todos os utilizadores que estejam conectados na rede, mesmo que apenas um tenha sido infetado diretamente.
Os cibercriminosos conseguem ainda configurar o ransomware para infetar ficheiros em concreto, como todos os ficheiros .xlsx (Excel) e .docx, (Word) ou apenas um conjunto de sistemas específicos.
“Uma das ferramentas da criação do LockBit 3.0 foi divulgado em 2022, mas os atacantes ainda o utilizam ativamente para criar versões personalizadas que nem sequer requerem conhecimentos avançados de programação“, afirma Cristian Souza, especialista em resposta a incidentes da equipa global de resposta a emergências da Kaspersky.
Os sistemas de segurança da Kaspersky conseguem detetar os seguintes malwares: Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen, Trojan-Ransom.Win32.Generic.
A Kaspersky enumerou alguma medidas, de forma a que os utilizadores se protejam destes ataques criminosos. É recomendado que faça cópias de segurança frequentes; no caso de ter sido vítima de ransomware e ainda não exista um desencriptador conhecido, guarde os ficheiros encriptados mais importantes, pois pode surgir uma solução de desencriptação para os recuperar. É aconselhado que mantenha ainda os sistemas e o software atualizados para reduzir a vulnerabilidade.
O LockBit 3.0 continua a atuar fortemente em vários países, sendo que a Guiné-Bissau é que tem maior taxa de autopropagação, afirma a Kaspersky. Existiram ainda outros ataques também na Rússia, no Chile e em Itália, sendo expectável que se alargue a mais países, de acordo com o comunicado de imprensa.
category-label- 
