A Kaspersky publicou uma nova versão de uma ferramenta para recuperar arquivos bloqueados pelo ransomware Conti, levando em conta as modificações do malware que se tornaram públicas recentemente. O vírus tem dominado o cenário do cibercrime desde 2019, porém, dados desse grupo vieram a público em março de 2022, incluindo seu código fonte, após um conflito interno causado pela crise geopolítica na Europa.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

A modificação em questão foi publicada por um grupo de ransomware desconhecido e tem sido usada para ataques contra empresas e instituições estatais. No final de fevereiro de 2023, os especialistas da Kaspersky descobriram essa nova série de dados divulgada em fóruns, que continham 258 chaves de acesso privadas, o código fonte do malware e alguns decodificadores pré-compilados.

Este malware surgiu no final de 2019 e esteve muito ativo ao longo de 2020, chegando a representar mais de 13% dos ataques desse tipo no período. No entanto, quando o código fonte foi divulgado há um ano, novas modificações dele foram criadas por diferentes grupos de cibercriminosos. A variação do ransomware Conti, que teve suas chaves publicadas, havia sido utilizada em diversos ataques contra empresas e instituições estatais e foi descoberta por especialistas da Kaspersky em dezembro de 2022.

As chaves de acesso privadas que foram divulgadas estão localizadas em 257 pastas (apenas uma destas contém duas chaves), e algumas delas têm informações previamente decifradas e arquivos comuns, como documentos e fotos. Com isso, se presume que estes últimos são alguns arquivos de teste enviados por vítimas aos golpistas para se certificar de que os arquivos podiam ser decodificados. Das pastas, 34 mostraram explicitamente empresas e agências governamentais. Assumindo que cada pasta corresponde a uma vítima e que os decodificadores foram gerados por aqueles que pagaram o resgate, é possível sugerir que 14 das 257 vítimas cederam à chantagem.

Após analisar os dados, os especialistas da Kaspersky lançaram uma nova versão do decodificador gratuito para ajudar as vítimas desta modificação do ransomware Conti. O código de decodificação e todas as 258 chaves de acesso foram adicionados à ferramenta RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, ela foi disponibilizada também ao site No Ransom da empresa.

Quer saber tudo sobre Universo Sugar? Clique aqui e compre o e-book O Guia dos Sugar Daddy & Sugar Babies por apenas R$ 10

Para proteção pessoal e de negócios em relação a ataques do ransomware Conti e de outros tipos, a Kaspersky sugere:

• Não exponha os serviços de conexão remota (RDP) em redes públicas, a menos que seja absolutamente necessário. Além disso, utilize senhas fortes. Esta ferramenta é uma das mais exploradas para iniciar um ataques de ransomware.
• Instale as atualizações de segurança nas soluções de VPN, pois esta é outra forma comum usada pelos criminosos para obter acesso à rede corporativa.
• Concentre sua estratégia de defesa na detecção de movimentos laterais (processo pelo qual os invasores se espalham a partir da infecção inicial para toda a rede corporativa) e no roubo de dados. Revise, principalmente, todos os envios de dados para fora da rede corporativa. Com isso, as chances de identificar um vazamento e impedi-lo aumentam.
• Faça cópias (backup) de segurança de seus dados regularmente. Certifique-se de que pode acessar os dados rapidamente em caso de emergência.
• Use soluções como o Kaspersky Endpoint Detection and Response (EDR) Expert e serviços de gerenciamento de segurança, como o Kaspersky Managed Detection and Response, para ajudar na identificação e bloqueio de ataques em estágios iniciais, pois assim é possível evitar que os criminosos atinjam seus objetivos.
• Dê acesso à equipe de segurança a relatórios de ameaças atualizados com as mais recentes TTPs usadas em campanhas de ransomware (e em outros ciberataques). Com essa informações, a equipe conseguirá se preparar para identificar, bloquear e responder rapidamente a todas as tentativas de ataque. O Kaspersky Threat Intelligence Portal concentra todo o conhecimento da empresa sobre o modus operantis dos criminosos ao redor do mundo nos últimos 25 anos. Para informações adicionais ou para solicitar uma demonstração, acesse aqui.

Quer investir em criptomoedas de forma confiável? Clique aqui e compre na Bit2Me