De acordo com a mais recente edição do Ransomware Roundup da Fortinet, referente aos meses de outubro e novembro, os ataques de ransomware emergentes foram o Akira, Knight e NoEscape.
Akira
Lançada em abril de 2023, o Akira é uma variante de ransomware recente com versões para Windows e Linux. O grupo de cibercriminosos utiliza apenas o ransomware para encriptar ficheiros após invadir a infraestrutura de rede e exfiltrar os dados, tal como muitos outros atacantes. A Fortinet destaca também que os invasores recorrem a uma tática de extorsão dupla, sendo que, em troca da desencriptação dos ficheiros e não divulgação ao público das informações, exigem um resgate às vítimas.
Geralmente, os alvos do Akira são organizações que utilizam um serviço sem autenticação multifator, segundo um alerta emitido pelo CERT Índia. Outro vetor de infeção assenta na compra de um acesso à rede aos atores maliciosos responsáveis pelo acesso inicial.
Além disto, o grupo de ransomware visa uma variedade de setores, especialmente a indústria transformadora (8%), os serviços empresariais (6%) e da construção (5%), de acordo com dados recolhidos através do serviço FortiRecon. Os Estados Unidos foram o país onde mais organizações sofrem ataques do Akira, com 53%.
Knight
O Knight, que surgiu em agosto de 2023, é um grupo de ransomware que utiliza táticas de extorsão dupla, encriptando os ficheiros nas máquinas-alvo e exfiltrando os respetivos dados. O Cyclops, antecessor do Knight, tinha ferramentas multi-OS para Windows, Linux e Mac OS. Por esta razão, a Fortinet acredita que outras versões do ransomware Knight estão a caminho, apesar de o FortiGuard Labs ter localizado apenas uma versão Windows.
No início de setembro, o CERT Itália emitiu um alerta sobre o ataque do Knight a organizações italianas através de campanhas de phishing assentes em emails com anexos maliciosos. A Fortinet acrescenta ainda que malware Remcos e o Qakbot são também conhecidos pela distribuição deste ransomware em dispositivos comprometidos.
Esta variante de ransomware visa vários setores verticais da indústria. O setor mais afetado pelo Knight foi o do retalho e, para além disto, os atacantes vitimizaram igualmente organizações da área da saúde, incluindo hospitais, clínicas médicas e consultórios odontológicos. Os Estados Unidos foram o país mais atacado pelo Knight (60%).
NoEscape
O NoEscape, um grupo de ransomware com motivações financeiras, apareceu em maio de 2023 e gere um programa de Ransomware-as-a-Service. O programador disponibiliza a criação e fornecimento das ferramentas pré e pós-infeção para os afiliados realizarem atividades maliciosas, como comprometer alvos, exfiltrar dados e implementar encriptadores.
De acordo com a Fortinet, acredita-se que o NoEscape está relacionado com o agora extinto grupo de ransomware Avaddon.
Apesar de não estarem disponíveis informações sobre o vetor de infeção utilizado pelo NoEscape atualmente, a Fortinet estima que este não deve deferir significativamente de outros grupos de ransomware.
O setor mais afetado pelo NoEscape foram os serviços empresariais, seguindo-se a indústria transformadora e o retalho. Ainda mais, o grupo de ransomware visa também organizações governamentais, hospitais e clínicas médicas.
Os principais países afetados foram os Estados Unidos (33%), o Reino Unido (10%) e França (8%). Já na região EMEA, destacam-se Itália (6%), Espanha (5%), Suíça (4%), Alemanha (3%) e Países Baixos (3%).
|