LockBit, o ransomware que se faz passar por funcionários

O LockBit persiste.

Inicialmente divulgado em 2022, esta subclasse de ransomware conhecida como “vírus da encriptação”, continua a ser uma ameaça, segundo revela a Kaspersky.

Na sequência de um incidente recente, a equipa de Resposta a Emergências Globais da Kaspersky está a investigar um ataque em que os cibercriminosos criaram a sua própria variante de malware de encriptação equipado com capacidades de auto-propagação.

Os cibercriminosos violaram infraestruturas através da exploração de credenciais de administrador privilegiado roubadas.

Este incidente aconteceu na África Ocidental, mas outras regiões do globo também sofreram ataques de ransomware baseado em construtores, embora nenhum deles tenha as características sofisticadas observadas neste caso.

O último incidente ocorreu na Guiné-Bissau e revelou que o ransomware personalizado utiliza técnicas invisíveis e indetetáveis, “criando um efeito de avalanche descontrolado através dos anfitriões infetados que propagam o malware para a rede da vítima”, anuncia a Kaspersky.

Após este incidente, a Kaspersky está a fornecer a análise detalhada apontando que o ransomware aproveita as credenciais adquiridas ilicitamente “e faz-se passar pelo administrador do sistema com direitos privilegiados”.

Posteriormente, o ransomware personalizado pode também espalhar-se autonomamente pela rede, utilizando credenciais de domínio altamente privilegiadas para realizar atividades maliciosas, “tais como desativar o Windows Defender, encriptar partilhas de rede e apagar os registos de eventos do Windows para encriptar dados e ocultar as suas ações”.