Novo grupo de ransomware telefona às vítimas para pressioná-las

Investigadores dizem ter descoberto um novo grupo de ransomware chamado Volcano Demon que já conseguiu efetuar pelo menos dois ataques bem-sucedidos nas últimas semanas.

Os alvos do grupo foram empresas na indústria da manufaturação e logística, afirmou Tim West, analista na companhia de cibersegurança Halcyon, num comentário à Recorded Future News.

Os investigadores da Halcyon referem que o interessante sobre este grupo de ransomware é que não existe nenhum site para publicar a informação roubada, em vez disso utiliza ligações telefónicas para intimidar e negociar os pagamentos com os líderes das empresas afetadas.

Antes dos telefonemas, os cibercriminosos encriptam os ficheiros nos sistemas das vítimas através do ransomware LukaLocker e deixam uma nota de resgate da informação: “Se ignorarem este incidente, vamos certificar-nos que os vossos clientes e parceiros sabem de tudo e os ataques vão continuar. Alguns dos dados vão ser vendidos a burlões que vão atacar os vossos clientes e funcionários”, lê-se na nota.

O grupo Volcano Demon bloqueou com sucesso as working stations e os servidores Windows, através da exploração de credenciais administrativas comuns adquiridas a partir da rede.

O grupo empregou uma estratégia de extorsão dupla para aumentar as chances de receber o pagamento, conforme relatado pela Halcyon. Primeiro, implementavam o LukaLocker nos sistemas das vítimas, permitindo que os dados fossem filtrados para um centro de comando e controlo (C2). Somente após esta fase, os dados eram encriptados.

De acordo com os investigadores, a identificação deste grupo de cibercriminosos foi um desafio. Os atacantes apagaram os ficheiros do registo nas máquinas alvo antes da exploração, “tornando quase impossível uma avaliação forense exaustiva”.