Especialistas em segurança cibernética revelam o que exatamente aconteceu nos ataques de ransomware que paralisaram 300 bancos – Primeira postagem

O recente ataque de ransomware, que paralisou essencialmente mais de 300 pequenos bancos indianos e afetou o uso de caixas eletrônicos e pagamentos online, é atribuído ao infame grupo RansomEXX.

O que aconteceu foi que a C-Edge Technologies Ltd., uma joint venture entre a Tata Consultancy Services Ltd. e o State Bank of India, foi atacado com uma variante sofisticada de seu ransomware, de acordo com um relatório da CloudSEK

O ataque afetou principalmente a Brontoo Technology Solutions, um importante parceiro de colaboração da C-Edge. Após o ataque, Brontoo apresentou um relatório à CertIn, Equipe de Resposta a Emergências Informáticas da Índia. A equipe de pesquisa de ameaças da CloudSEK determinou que a cadeia de ataque começou com um servidor Jenkins mal configurado, que foi explorado pelos invasores.

Principais insights do relatório CloudSEK
O relatório da CloudSEK destacou várias descobertas importantes. O grupo de ransomware por trás do ataque é o RansomEXX v2.0, que é famoso por atingir grandes organizações e exigir grandes pagamentos de resgate. O ataque começou com um servidor Jenkins mal configurado que explorou uma vulnerabilidade (CVE-2024-23897) que permite aos invasores obter acesso seguro ao shell através da porta 22. Este incidente destaca a crescente ameaça de ataques à cadeia de abastecimento e a necessidade de medidas de segurança robustas em todos os ecossistemas.

RansomEXX v2.0 é uma variante avançada do ransomware RansomEXX, conhecido por suas técnicas sofisticadas e altas demandas de resgate. Originalmente conhecido como Defray777, RansomEXX foi renomeado em 2020 e desde então evoluiu para combater o aumento das defesas. Esta variante apresenta técnicas aprimoradas de criptografia, táticas de evasão e métodos de entrega de carga útil.

Os métodos e táticas de infecção usados ​​pelo RansomEXX v2.0 são diversos e eficazes. Os métodos de acesso inicial incluem e-mails de phishing, exploração de vulnerabilidades em protocolos de área de trabalho remota (RDP) e vulnerabilidades em VPNs e outros serviços de acesso remoto. Após obter acesso inicial, o grupo utiliza ferramentas como Cobalt Strike e Mimikatz para se mover lateralmente dentro de uma rede. Eles usam explorações conhecidas e roubo de credenciais para obter privilégios mais elevados no ambiente comprometido.

Ascensão do supergerme
RansomEXX v2.0 usa algoritmos de criptografia fortes, como RSA-2048 e AES-256, tornando a recuperação de arquivos praticamente impossível sem a chave de descriptografia. O ransomware tem como alvo arquivos e backups críticos e os torna inacessíveis. Antes da criptografia, o grupo frequentemente exfiltra dados para usá-los como alavanca para dupla extorsão. As vítimas recebem exigências detalhadas de resgate com instruções de pagamento, geralmente em Bitcoin ou outras criptomoedas. O grupo é conhecido por negociar e, às vezes, reduzir os pedidos de resgate com base na resposta da vítima e na capacidade percebida de pagar.

A RansomEXX tem como alvo uma série de organizações de alto perfil em vários setores, incluindo agências governamentais, prestadores de cuidados de saúde e empresas multinacionais. Estes ataques resultaram em perturbações operacionais significativas, fugas de dados e perdas financeiras. Muitas vítimas pagaram o resgate para reiniciar rapidamente as operações.

RansomEXX v2.0 está em constante evolução e incorporando novas técnicas para contornar as medidas de segurança. Relatórios recentes sugerem que certificados digitais roubados estão sendo usados ​​para assinar malware, aumentando a confiança e reduzindo as taxas de detecção, diz CloudSEK. Há também evidências de colaboração com outros grupos cibercriminosos, partilhando ferramentas, técnicas e infraestruturas.