Tática incomum
Curiosamente, o ransomware do Global Group opera em modo totalmente mudo – ou seja, em vez de se comunicar através de um servidor de comando e controle, ele executa todas as atividades localmente no sistema comprometido. “Essa tática é muito incomum”, disse McElligott por e-mail. “Normalmente, o ransomware moderno depende da comunicação em rede para permitir criptografia, exfiltração de dados, táticas de dupla extorsão, sites de vazamento e infraestrutura de negociação. Os dados roubados são usados para aumentar a pressão sobre as vítimas para que paguem os pedidos de resgate.”
O ransomware não recupera uma chave de criptografia externa; em vez disso, ele gera a chave na própria máquina host. Como resultado, apesar das reivindicações feitas na nota de resgate, os dados não são exfiltrados.
A exfiltração de dados pode retardar os ataques e deixar mais artefatos forenses, explicou McElligott. Ao focar apenas na criptografia, os ataques de ransomware podem ser implantados mais rapidamente, atingir mais vítimas e ter menos probabilidade de serem detectados. Em muitos casos, acrescentou ela, a exfiltração de dados não é necessária para forçar o pagamento, pois a criptografia por si só pode causar um tempo de inatividade significativo.
Fonte: Computer World
