Kaspersky lança ferramenta para descodificar Conti ransomware

Kaspersky lança ferramenta para descodificar Conti ransomware

A Kaspersky publicou uma nova versão de uma ferramenta de descodificação que ajuda as vítimas de Conti ransomware previamente divulgado. O Conti ransomware tem dominado o cibercrime desde 2019 e os seus dados, incluindo o código fonte, foram divulgados em Março de 2022 na sequência de um conflito interno causado pela crise geopolítica na Europa. A modificação descoberta foi distribuída por um grupo de ransomware desconhecido e tem sido utilizada contra empresas e instituições estatais.

No final de Fevereiro de 2023, os especialistas da Kaspersky descobriram uma nova série de dados divulgados publicados em fóruns. Após analisar os dados, que continham 258 chaves privadas, código fonte e alguns descodificadores pré-compilados, a Kaspersky lançou uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware.

O Conti apareceu em finais de 2019 e esteve muito ativo ao longo de 2020, representando mais de 13% de todas as vítimas de ransomware durante este período. Contudo, há um ano, uma vez que o código fonte foi divulgado, várias modificações do Conti ransomware foram criados por vários grupos de cibercriminosos e utilizados nos seus ataques.

A variante malware, cujas chaves foram divulgadas, tinha sido descoberta por especialistas da Kaspersky em Dezembro de 2022. Esta variante foi utilizada em múltiplos ataques contra empresas e instituições estatais.

As chaves privadas divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves). Algumas delas contêm descodificadores previamente gerados e vários ficheiros comuns: documentos, fotos, etc. Presumivelmente, estes últimos são ficheiros de teste – alguns ficheiros que a vítima envia aos scammers para se certificar de que os ficheiros podem ser decifrados.

Trinta e quatro destas pastas denominaram explicitamente empresas e agências governamentais. Assumindo que uma pasta corresponde a uma vítima, e que os descodificadores foram gerados para as vítimas que pagaram o resgate, pode sugerir-se que 14 das 257 vítimas pagaram o resgate.

Após análise dos dados, os especialistas lançaram uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware. O código de descodificação e todas as 258 chaves foram adicionados à última construção do utilizador RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, a ferramenta de descodificação foi adicionada ao site "No Ransom" da Kaspersky (https://noransom.kaspersky.com).

"Durante muitos anos consecutivos, o ransomware tem permanecido uma ferramenta importante utilizada pelos cibercrooks. No entanto, porque estudámos os TTPs de vários grupos de ransomware e descobrimos que muitos deles operam de forma semelhante, a prevenção de ataques torna-se mais fácil. A ferramenta de descodificação contra esta nova modificação já está disponível na nossa página web "No Ransom". Contudo, gostaríamos de salientar que a melhor estratégia é reforçar as defesas e deter os atacantes nas fases iniciais da sua intrusão, impedindo a implementação de resgates e minimizando as consequências do ataque", diz Fedor Sinitsyn, principal analista de malware na Kaspersky.

Para se proteger, a si e ao seu negócio, de ataques de ransomware, considere seguir as regras propostas pela Kaspersky:

· Não exponha os serviços de desktop remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre senhas fortes.

· Instale rapidamente os patches disponíveis para soluções VPN comerciais, fornecendo acesso aos funcionários em regime remoto e atuando como gateways na sua rede.

· Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.

· Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos dados em caso de emergência, quando necessário.

· Utilize soluções como o Kaspersky Endpoint Detection and Response Expert e o serviço Kaspersky Managed Detection and Response que ajudam a identificar e parar os ataques nas fases iniciais, antes de os atacantes atingirem os seus objetivos finais.

· Utilizar as informações mais recentes do Threat Intelligence para se manterem a par dos TTPs reais utilizados pelos atacantes. O Threat Intelligence Portal da Kaspersky é um ponto de acesso único para as TI da Kaspersky, fornecendo dados de ataques cibernéticos e insights recolhidos pela nossa equipa durante 25 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo. Solicite aqui o acesso a esta oferta.