Os setores mais prejudicados pelo ransomware Conti são o retalho, a indústria e a construção, assim como a administração pública e o setor da saúde.
A Sophos detetou inúmeros ataques confirmados do ransomware Conti, um ataque através de encriptação de dados e posterior pedido de resgate, que é executado de forma manual por cibercriminosos e aplica técnicas de dupla extorsão às suas vítimas.
Depois de acederem às redes empresariais, os atacantes roubam os dados dos seus alvos, encriptam-nos e ameaçam publicar a informação furtada no website “Conti News” se a empresa não pagar o resgate. A Sophos identificou já a publicação de dados roubados com recurso ao ransomware Conti a pelo menos 180 organizações, apenas nos últimos meses.
Os investigadores da Sophos e os especialistas da equipa Sophos Rapid Response detetaram múltiplos ataques do ransomware Conti nos últimos seis meses, mostrando que esta é uma ameaça global que afeta sobretudo empresas da Europa Ocidental e América do Norte.
Desde a primeira aparição do Conti, os investigadores assumiram que era um sucessor do Ryuk, ainda que se tenha identificado uma diferença fundamental no grupo criminoso responsável pelo ransomware Conti: os cibercriminosos que lançam este tipo de ataque utilizam técnicas de “dupla extorsão”, ameaçando filtrar os dados roubados de modo a obrigar as vítimas a pagar o resgate.
Com recurso à informação publicada pelos atacantes no website “Conti News”, a Sophos construiu um perfil das vítimas para identificar que tipo de empresas estão a ser atacadas por esta família de ransomware. Embora este tipo de ataque possa dirigir-se a qualquer setor, as empresas mais afetadas até agora pelo ransomware Conti pertencem às áreas do retalho, da indústria, construção e administração pública.
Nas empresas que não contam com uma equipa especializada em segurança é o departamento de TI que está na primeira linha de combate aos ataques de ransomware. “São eles que chegam ao trabalho numa certa manhã e encontram tudo bloqueado e uma nota de resgate nos ecrãs dos computadores, por vezes seguida de e-mails e até chamadas ameaçadoras”, acrescenta Mackenzie.
Com base na sua experiência, os especialistas em deteção e resposta a ameaças da Sophos criaram uma lista de ações simples para ajudar os responsáveis de TI nas primeiras horas e dias depois de um ataque de ransomware como o Conti, oferecendo-lhes formas de pedir ajuda e de estabelecer as bases para um futuro mais seguro:
- Apagar o Protocolo de Área de Trabalho Remota (RDP) ligado à Internet para impedir que os cibercriminosos acedam às redes.
- Em caso de necessidade de aceder a um RDP, fazê-lo através de uma ligação VPN.
- Aplicar uma política de segurança por camadas para prevenir, proteger e detetar ciberataques, incluindo as capacidades de deteção e respostas em endpoints (EDR), bem como equipas de resposta gerida a incidentes de segurança, que vigiem as redes da empresa 24/7.
- Informar-se sobre os cinco primeiros indicadores da presença de um ciberataque de modo a deter os ataques de ransomware.
- Contar com um plano eficaz de resposta a estes incidentes e atualizá-lo sempre que necessário. Não detendo os recursos ou conhecimentos necessários para desenvolver um plano de segurança, supervisionar possíveis ameaças ou responder a incidentes de emergência, as empresas deverão considerar a possibilidade de recorrer a especialistas externos para manter-se protegidas.
Contacte a sua equipa especializada em segurança, verifique o seu sistema!
Voltar