Ontem (04), a imprensa espanhola divulgou que pelo menos duas grandes empresas na Espanha foram vítimas, no mesmo dia, de um ataque de ransomware. A primeira foi a Everis, consultora de TI do Grupo NTT Data, e a segunda foi a Cadena SER, rádio mais importante da Espanha que pertence ao grupo PRISA Radio. Embora essas duas organizações tenham confirmado oficialmente o ataque de ransomware na segunda-feira, aparentemente se trata de campanhas diferentes que não estariam relacionadas, explica Camilo Gutiérrez, chefe do Laboratório de Pesquisa da ESET na América Latina.
Ainda não temos qualquer confirmação de quais famílias de ransomware são as protagonistas destes dois ataques. De acordo com os portais BleepingComputer e Zdnet, depois da divulgação de imagens da mensagem apresentada pelo ransomware nos computadores infectados, seria possível dizer que supostamente se trata do ransomware BitPaymer, um código malicioso que foi descoberto recentemente e que explorou uma vulnerabilidade zero-day nos softwares iCloud e iTunes da Apple.
Um comunicado interno da Prisa Radio, enviado na madrugada de 4 de novembro, explicou que um vírus afetou seus sistemas e que, por isso, seria necessário desconectá-los completamente para evitar que a ameaça pudesse se propagar, explica o jornal El Confidencial. Enquanto isso, "a transmissão da rádio Cadena SER ficou centralizada na Radio Madrid, cancelando as transmissões locais e regionais, exceto aquelas que foram expressamente autorizadas pela Direção da Rádio", acrescentou o jornal.
A consultora Everis emitiu um comunicado interno semelhante solicitando que os computadores fossem desligados, desconectando a rede com os clientes e entre escritórios, e solicitando que a mesma mensagem fosse comunicada ao resto das equipes e colegas devido a problemas de comunicação.
Além disso, o Departamento de Segurança Nacional de Espanha emitiu um comunicado garantindo que, seguindo o protocolo estabelecido nos casos de ciberataques, a rádio Cadena SER desconectou seus sistemas operacionais e já estão trabalhando para voltar a normalidade. O Instituto Nacional de Cibersegurança (INCIBE-CERT) garante que estão trabalhando em conjunto com as empresas afetadas para a mitigação do incidente.
No caso do ransomware que afectou a Everis, uma imagem da mensagem deixada pelos cibercriminosos, com os passos que as vítimas do ataque devem seguir, inclui dois endereços de e-mail, permitindo que os usuários atacados possam se comunicar com os criminosos caso queiram recuperar os arquivos sequestrados.
Ainda não sabemos quais famílias de ransomware afetaram tanto a Cadena SER como a Everis. Segundo o jornal El País, fontes da Cadena SER dizem que se trata do ransomware Ryuk, enquanto outros especialistas apontaram para a família do ransomware BitPaymer/iEncrypt, no caso da Everis.
De acordo com o que Bernardo Quintero, fundador do VirusTotal, explicou ontem (04) através de sua conta no Twitter, depois de analisar a versão que aparentemente afetou a consultoria Everis, esta família de ransomware BitPaymer/iEncrypt existe há pelo menos três anos e tem sido utilizada em várias ocasiões para ataques direcionados contra empresas, principalmente contra grandes alvos.
la familia de ransomware BitPaymer / iEncrypt lleva ya 3 años entre nosotros, siendo utilizado para ataques dirigidos contra empresas. El grupo que hay operando tras estos ataques prefiere ir contra objetivos grandes específicos, en vez de hacer ataques indiscriminados
— Bernardo Quintero (@bquintero) November 4, 2019
Em uma sequência no Twitter, Quintero explica que casos semelhantes a esses ataques a empresas espanholas ocorreram em países como Alemanha, Canadá, Reino Unido ou Estados Unidos, "com variantes criadas para a ocasião", comenta. Por outro lado, o especialista acrescenta que não é o típico ransomware que infecta e inicia a criptografia, mas que antes de executar o payload pode levar vários dias para estudar a rede interna em sua ânsia de infectar o maior número possível de sistemas.
...si pueden te pillan hasta los sistemas de backup antes de lanzar el payload, y lo hacen en fin de semana para que explote el lunes y maximizar el impacto en el negocio y aumentar la presión/estrés en los equipos de respuesta ante incidentes
— Bernardo Quintero (@bquintero) November 4, 2019
Estes casos demonstram mais uma vez a importância de ter os computadores protegidos com uma solução de segurança por camadas, além de contar com cada uma das tecnologias e dispositivos sempre atualizados, destaca Camilo Gutierrez.
Embora os casos de ransomware tenham diminuído em comparação com, por exemplo, 2017, ainda é uma ameaça ativa e perigosa, que aparentemente está deixando de ser usada de forma massiva para ataques direcionados. Por esta razão, o pesquisador de segurança Stephen Cobb publicou no ano passado um artigo destinado às empresas sobre como se proteger de uma ameaça como o ransomware. O documento apresentado por Stephen Cobb explica por que o ransomware continua sendo uma séria ameaça para qualquer empresa ou organização e quais medidas podem ser tomadas para reduzir a exposição e os prejuízos que podem ser causados por um ataque deste tipo.