Ataque ransomware viola redes educacionais via backdoor

Ataque ransomware viola redes educacionais via backdoor

A gangue de ransomware PYSA tem usado um trojan de acesso remoto (RAT) — apelidado de ChaChi — para invadir sistemas de organizações de saúde e educação, com o intuito de sequestrar dados que mais tarde são aproveitados em esquemas de resgate de extorsão dupla.

ChaChi é um cavalo de Troia personalizado de Golang, desenvolvido no início de 2020, e que foi implantado por operadores da PYSA para acessar e controlar sistemas infectados.

O RAT foi analisado, a princípio, como uma ferramenta sem recursos de ofuscação, encaminhamento de porta e tunelamento DNS. No entanto — como provam as amostras detectadas em ataques subsequentes —, seus criadores o atualizaram para incluir todos esses recursos observados 

“Após os primeiros casos de ataques durante o primeiro trimestre de 2020, o código de ChaChi foi alterado para incluir ofuscação e persistência”, disse a equipe de inteligência e pesquisa de ameaças da BlackBerry, em um relatório compartilhado previamente com a BleepingComputer.

“Logo depois disso, começamos a ver variantes ChaChi com o tunelamento DNS adicionado e a funcionalidade Port-Forwarding/Proxy.”

Uma das primeiras amostras desse backdoor foi implantada nas redes de autoridades governamentais da França, em março de 2020. Posteriormente, a PYSA usou a versão atualizada para atingir vários segmentos industriais — desde o setor público até o privado.

ChaChi atualizado é usado para escalar ataques a organizações de educação

Esses ciberataques culminaram em uma escalada da atividade ransomware da PYSA, que visa instituições educacionais do Reino Unido e de 12 estados dos EUA — de acordo com um alerta instantâneo do FBI, emitido em março de 2021.

“Desde março de 2020, nós tomamos conhecimento de ataques de ransomware da PYSA contra entidades governamentais americanas e estrangeiras, instituições educacionais, empresas privadas e o setor de saúde por parte de ciberatores não identificados”, disse o FBI.

“Nossos relatórios indicaram um aumento recente de investidas da gangue voltadas principalmente às organizações educacionais. Os agentes de ameaça têm como alvo específico o ensino superior, escolas K-12 e seminários.”

O fato de as organizações de saúde e educação trabalharem regularmente com grandes quantidades de informações pessoais e confidenciais, faz com que elas se tornem alvos perfeitos para grupos ransomwares, que roubam os dados antes de criptografar as redes das vítimas.

Hospitais e escolas sem backups de dados que também fazem uso de históricos e sistemas raramente corrigidos, são presas ainda mais vulneráveis para os atacantes, pois podem ser persuadidos a pagar resgates para restaurar os seus  sistemas e recuperar os dados roubados.

O primeiro ataque da PYSA foi detectado em outubro de 2019, quando começou a surgir relatórios de várias empresas atingidas por um novo tipo ransomware.

Essa gangue de sequestradores digitais é conhecida por exfiltrar uma ampla gama de dados confidenciais dos servidores de suas vítimas, incluindo informações de identificação pessoal (PII), de impostos sobre salários e outros tipos de dados.

Informações técnicas sobre o ChaChi RAT, bem como indicadores de comprometimento e regras YARA, podem ser encontrados no relatório dos pesquisadores de ameaças da BlackBerry.

 

Tradução por: Daniel Henrique

Link original 

 

Missão: Firewall como negócio

Seja um Parceiro Starti