Variante incorpora recursos como personificação de administradores de sistema e auto propagação adaptativa pelas redes.
Um incidente recente na África Ocidental chamou mais uma vez a atenção para a ameaça persistente representada pelo ransomware LockBit. Os cibercriminosos, munidos de credenciais de administrador roubadas, implantaram uma variante personalizada do malware de criptografia que inclui recursos de autopropagação.
Após obterem o acesso privilegiado, os hackers violaram a infraestrutura corporativa, demonstrando o risco contínuo representado pelo LockBit 3.0 vazado, apesar de sua exposição anterior. “O construtor do LockBit 3.0 vazou em 2022, mas os invasores ainda o usam ativamente para criar versões personalizadas. E ele nem mesmo requer habilidades avançadas de programação”, diz Cristian Souza, especialista em resposta a incidentes da Kaspersky.
Segundo ele, essa flexibilidade dá aos cibercriminosos muitas oportunidades para aumentar a eficácia dos seus ataques, como mostra um caso recente. “Isso torna esses tipos de ataques ainda mais perigosos, considerando a frequência crescente de vazamentos de credenciais corporativas.”
De acordo com um novo relatório da Kaspersky, o incidente também destaca uma tendência preocupante em que os invasores criam ransomware sofisticado, capaz de se espalhar de forma autônoma nas redes.
A variante do LockBit, identificada pela empresa de segurança, apresenta recursos sem precedentes, incluindo personificação de administradores de sistema e autopropagação adaptativa pelas redes. Aproveitando credenciais de domínio altamente privilegiadas, o ransomware também pode desativar medidas de segurança, criptografar compartilhamentos de rede e apagar logs de eventos para ocultar suas ações. Cada host infectado torna-se um vetor para novas infecções, amplificando o impacto na rede da vítima.
Além disso, arquivos de configuração personalizados permitem que o malware se adapte a ambientes de rede específicos, aumentando sua eficácia e evasão. Essa flexibilidade, aliada à facilidade de uso do construtor vazado, apresenta desafios significativos para os profissionais de segurança cibernética.
A pesquisa da Kaspersky também descobriu o uso do script SessionGopher por invasores para extrair senhas salvas dos sistemas afetados. Embora tenham sido observados incidentes sem algumas capacidades avançadas em vários setores e regiões, o âmbito geográfico dos ataques pode estar a expandir-se.
De acordo com a empresa de segurança cibernética, a recente derrubada do grupo de ransomware LockBit pelas autoridades internacionais destaca os esforços colaborativos necessários para combater tais ameaças.
Para mitigar ataques de ransomware, a Kaspersky recomenda a implementação de backups frequentes, soluções de segurança robustas e fornecimento regular de treinamento em segurança cibernética aos funcionários.
