A agência norte-americana destacou na última quarta-feira (06) através de um comunicado em que alerta principalmente as empresas de que o ransomware Egregor, que foi visto pela primeira vez em setembro de 2020, já fez mais de 150 vítimas em todo o mundo, incluindo várias empresas conhecidas e de diferentes setores.

Assim como outros grupos de ransomware ativos, depois de comprometer a rede de uma empresa, a ameaça rouba informações e, em seguida, criptografa os arquivos nos computadores infectados. Logo depois, solicita à vítima o pagamento de um resgate para devolver os arquivos roubados e recuperar o acesso aos arquivos criptografados. Caso o pagamento do resgate não seja realizado, os criminosos ameaçam publicar as informações roubadas em um site de acesso público criado para essa finalidade.

Da mesma forma que o Ransomware as a service (RaaS), o Egregor é distribuído graças à participação de vários agentes, o que faz com que as estratégias utilizadas para comprometer os computadores das vítimas sejam bem diferentes entre cada um dos ataques, representando um grande desafio para lidar com essa ameaça, explica o FBI. “Os ataques do Egregor ocorrem através de e-mails de phishing com anexos maliciosos e tem como objetivo acessar a redes corporativas e contas pessoais de funcionários que contem com acesso a redes e dispositivos corporativos”, destaca.

Veja mais: Office 365: um alvo bastante visado pelos cibercriminosos

O Egregor também explorou o protocolo RDP (Remote Desktop Protocol) ou de serviços VPN para obter acesso às redes, usando essa estratégia para se mover lateralmente dentro das redes corporativas. Após o comprometimento e para continuar o movimento dentro da rede, a ameaça usa algumas ferramentas conhecidas e também distribuídas por outros códigos maliciosos, como a pentesting Cobalt Strike, o Qbot (malware que também foi distribuído pelo Emotet em 2020), o Advanced IP Scanner ou o AdFind. Para extrair e roubar informações, o Egregor usa ferramentas como o 7zip ou o Rclone, explica o comunicado do FBI.

Veja mais: Ataques ao RDP: número de computadores vulneráveis diminui no Brasil

Antes de disponibilizar algumas dicas sobre como evitar ser vítima do Egregor, o FBI recomenda que os usuários não paguem qualquer resgate e destaca que essa prática promove a atividade maliciosa de cibercriminosos que, ao conseguir monetizar seus ataques, passam a obter mais recursos para continuar operando e crescendo. Lembre-se também de algo que já mencionamos diversas vezes: o pagamento de um resgate não garante que a vítima recuperará os arquivos criptografados.

Para mitigar um possível impacto provocado pelo Egregor, o ideal é realizar o backup de informações periodicamente e manter todos aqueles que contam com informações confidenciais sem acesso à Internet. Também é aconselhável usar uma solução de segurança confiável em cada um dos dispositivos e mantê-la atualizada, evitar clicar em anexos que chegam através de e-mails desconhecidos, implementar a autenticação de dois fatores sempre que possível e conectar-se a redes seguras, evitando principalmente as redes Wi-Fi públicas.

Veja mais: Órgãos governamentais: um alvo frequente de ataques de ransomware