Depois de hospitais e empresas, gangues de ransomware agora atacam escolas

Uma gangue de ransomware de baixíssimo perfil voltou às atividades atacando hospitais, empresas e agora, escolas. O Sabbath, reformulação de outro grupo de cibercriminosos Arcane, resolveu lançar uma série de ataques cibernéticos em massa contra diversos alvos do setor de serviços.

A medida, estimam os especialistas, pode estar relacionada à queda do portal de negociações de recompensas com as empresas, que está sob suspeita de derrubada. O grupo está aproveitando o silêncio dos maiores agentes do campo após a queda do grupo REvil e das ações recentes da Interpol para ganhar reputação e se consolidar no cibercrime atual.

Segundo os analistas da firma de cibersegurança Mandiant, as primeiras ações da Sabbath foram detectadas ainda em outubro, quando os criminosos efetuaram o sequestro de dados de uma escola do Texas, Estados Unidos. Curiosamente, o grupo optou por divulgar a demanda de recompensa no Reddit, ameaçando vazar todos os dados do colégio.

Hoje, o grupo já tem um site próprio e usa métodos muito parecidos com o Arcane, o que faz os especialistas considerarem que os cibercriminosos estão correndo atrás do tempo perdido.  

“Eles pegaram o ritmo direto pelo decorrer de novembro de 2021, quando o portal de humilhações públicas deles misteriosamente ficou offline,” afirma Tyler McLellan, analista principal da Mandiant, em uma publicação online.

Grupo foi de cliente a fornecedor de ransomware

Só neste ano, nos Estados Unidos foram registrados, pelo menos, 12 ataques de gangues de ransomware impactando 41 escolas. Estas atividades forçaram centros de ensino — como num caso de um colégio da Pennsylvania, por exemplo — a encerrar suas atividades. A ideia é, tal qual nos hospitais e instituições de saúde, atingir serviços públicos para criar caos e, assim, obrigá-los a pagar as recompensas.

Deste número, seis foram alvos impactados pelo Sabbath, todos atingindos em novembro, num intervalo de dois dias. Sua capacidade de se manter fora do escrutínio das forças de segurança veio do fato de escolher vítimas de menor tamanho e popularidade.

Além dos ataques às escolas, outra mudança específica do grupo veio da técnica (ainda incomum) de fornecer o Ransomware como Serviço (RaaS). Na prática, os cibercriminosos oferecem uma estrutura de sequestro e de disseminação de malwares para outros agentes, participando de uma fatia do arrendamento das recompensas.

Segundo os especialistas da Mandiant, a mesma técnica de fornecimento dificulta de registrar quando um ataque de ransomware é originário do próprio Sabbath ou de terceirizados. Entretanto, a tática permite que pesquisadores de cibersegurança identifiquem com mais facilidade as ameaças potenciais que vêm deste grupo.

Imagem: PR Image Factory/Shutterstock

Leia mais:

• Criminosos burlam Google Play Store com apps falsos e roubam dados bancários de 300 mil usuários
• Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android
• Para fugir da detecção, atualização do malware TrickBot checa até a resolução do seu PC

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!