Software pirata leva a ataque ransomware em instituto europeu de pesquisa biomolecular

Um estudante tentou piratear um software de visualização de dados caro, isso o levou a um ataque de ransomware Ryuk em um instituto europeu de pesquisa biomolecular. Normalmente os atores dessa ameaças criam site para o download de softaware crack falso, videos do Youtube e torrents para distribuir.

Logo após o instituto de pesquisa sofre o ataque de rwansomware Ryuk, a equipe de Resposta Rápida da Sophos respondeu e neutralizou o ataque cibernético.

Com esse ataque o instituto perdeu uma semana de dados de pesquisa e uma falha de rede de uma semana, pois os servidores foram  reconstruídos do zero e os dados restaurados dos backups.

A perícia forense do ataque, a Sophos determinou que o ponto de entrada inicial para os atores da ameaça era uma sessão RDP usando as credenciais de um aluno.

O instituto trabalha com estudantes universitários que os auxiliam em pesquisas e outras tarefas.  o instituto fornece aos alunos credenciais de login para fazer login em sua rede remotamente, como parte dessa cooperação.

Após obter acesso ao laptop do aluno e analisar o histórico do navegador, eles descobriram que o aluno havia procurado uma ferramenta de software de visualização de dados cara que usava no trabalho e queria instalar em seu computador doméstico.

Em vez de comprar a licença por algumas centenas de dólares, o aluno procurou por uma versão crackeada e baixou de um site warez.

Então em vez de receber o software esperado, eles foram infectados com um trojan de roubo de informações que registrava as teclas digitadas, roubava o histórico da área de transferência do Windows e roubava senhas, incluindo as mesmas credenciais usadas pelos agentes da ameaça Ryuk para entrar no sistema do instituto.

É improvável que os operadores por trás do malware de ‘software pirata’ sejam os mesmos que lançaram o ataque Ryuk”,  disse Peter Mackenzie, gerente de Resposta Rápida da Sophos. “O mercado clandestino de redes previamente comprometidas que oferecem aos invasores acesso inicial fácil está prosperando, então acreditamos que os operadores de malware venderam seu acesso para outro invasor. A conexão RDP pode ter sido os corretores de acesso testando seu acesso. ”

Os mercados dedicados à venda de credenciais de acesso remoto têm florescido nos últimos dois anos e se tornaram uma fonte comum de contas usadas por gangues de ransomware para obter acesso a redes corporativas.