Ransomware Ryuk
Atualmente, os ciberataques são cada vez mais frequentes, em particular os programas de resgate, conhecidos como «ransomware» em inglês.
Este ataque consiste, tal como os seus equivalentes cibernéticos, em roubar os dados pessoais dos computadores infetados.
Trata-se, portanto, de um software oculto num e-mail malicioso que, uma vez aberto, encripta os seus dados e bloqueia o acesso aos mesmos. Os cibercriminosos exigem um resgate em criptomoeda para desencriptar os seus dados, dando assim origem ao nome deste ataque.
Vamos prosseguir com as nossas investigações, centrando-nos desta vez no fenomenalransomware Ryuk. Parece estar destinado a continuar a dar que falar, tendo já gerado pagamentos no valor de 3,7 milhões de dólares em bitcoins desde o seu surgimento.
Detetado pela primeira vez em agosto de 2018, este último recorre a novas táticas:
Desta vez, os cibercriminosos não estão a espalharmalware por qualquer computador. Eles infiltram-se durante vários meses, de forma muito discreta, nas redes das empresas. Assim, identificam concretamente qual a estratégia a adotar para atacar os alvos mais interessantes e com maior capacidade para pagar resgates avultados.
Segundo os investigadores da Crowdstrike (empresa norte-americana especializada em tecnologias de cibersegurança), o grupo de hackers «Grim Spider», responsável por este ataque, utilizou um cavalo de Tróia. O trojan TrickBot infiltra-se nos computadores visados através de um ficheiro fraudulento anexado a um e-mail de phishing.
Normalmente dissimulado numa folha do Excel, este software malicioso tem como alvo uma pessoa específica por e-mail. Se essa pessoa abrir o anexo, ativa o conteúdo do documento.
Quem está por trás do ransomware Ryuk?
O ransomware Ryuk incluiria um «kill switch» que se ativa apenas em função da localização da vítima, um comportamento bastante comum no mundo do cibercrime. Desta forma, os piratas evitam dar um tiro no próprio pé. Além disso, a Crowdstrike afirma ter identificado alguns elementos de linguagem russa no código, bem como um download suspeito proveniente de Moscovo.
