O Ryuk Ransomware atacou a Epiq Global através de infecção do TrickBot, o que fez a empresa colocar seus sistemas em modo off-line. Conheça melhor os detalhes desse incidente.
O TrickBot é mais comumente instalado pelo Emotet Trojan, que é espalhado por e-mails de phishing. Uma vez instalado, o TrickBot coleta vários dados, incluindo senhas, arquivos e cookies, de um computador comprometido e tenta se espalhar lateralmente pela rede para coletar mais dados.
Quando terminar de coletar dados em uma rede, o TrickBot abrirá um shell reverso para os operadores Ryuk.
Os atores Ryuk terão acesso ao computador infectado e começarão a realizar o reconhecimento da rede. Depois de obter credenciais de administrador, eles implantarão o ransomware nos dispositivos da rede usando o PowerShell Empire ou PSExec.
Agora, a gigante dos serviços jurídicos e de e-discovery Epiq Global colocou seus sistemas off-line no sábado após a implantação do Ryuk Ransomware começar a criptografar dispositivos em sua rede.
Ryuk Ransomware atacou a Epiq Global através de infecção do TrickBot
Em 2 de março, o repórter jurídico Bob Ambrogi deu a notícia de que a Epiq havia colocado seus sistemas off-line globalmente depois de detectar um ataque cibernético.
Essa interrupção afetou suas plataformas de e-Discovery, o que impossibilitou que clientes legais acessassem os documentos necessários para processos judiciais e prazos de clientes.
Mais tarde, a Epiq afirmou que eles foram afetados por um ataque de ransomware e colocou seus sistemas offline para conter a ameaça.
“Em 29 de fevereiro, detectamos atividades não autorizadas em nossos sistemas, o que foi confirmado como um ataque de ransomware. Como parte de nosso abrangente plano de resposta, imediatamente colocamos nossos sistemas off-line globalmente para conter a ameaça e começamos a trabalhar com terceiros forenses. empresa para conduzir uma investigação independente.”
“Nossa equipe técnica está trabalhando em estreita colaboração com especialistas de terceiros de classe mundial para resolver esse problema e colocar nossos sistemas on-line de uma maneira segura, o mais rápido possível.”
“As autoridades federais também foram informadas e estão envolvidas na investigação.”
“Como sempre, proteger as informações de clientes e funcionários é uma prioridade crítica para a empresa. No momento, não há evidências de transferência não autorizada, uso indevido ou exfiltração de dados em nossa posse.”
Mais tarde naquela noite, o TechCrunch informou que eles foram informados de que o ataque afetou todos os 80 escritórios globais da Epiq e seus computadores.
O ataque da Epiq Global começou com uma infecção pelo TrickBot
Recentemente, uma fonte do setor de segurança cibernética compartilhava exclusivamente informações com o site BleepingComputer, que esclarece como a Epiq Global foi infectada.
Em dezembro de 2019, um computador na rede da Epiq foi infectado pelo malware TrickBot.
No caso da Epiq Global, o Ryuk foi implantado em sua rede na manhã de sábado, 29 de fevereiro de 2020, quando o ransomware começou a criptografar arquivos nos computadores infectados.
Ao criptografar arquivos, o ransomware cria uma nota de resgate chamada RyukReadMe.html em todas as pastas. Todos os arquivos criptografados também teriam a extensão .RYK anexada a eles.
Embora o Ryuk seja considerado um ransomware seguro sem nenhuma fraqueza na criptografia, Brett Callow, da Emsisoft, disse ao BleepingComputer que pode haver uma pequena chance de ajudar a recuperar arquivos criptografados pelo ransomware Ryuk.
Sobre o Ryuk, Callow disse ainda que:
“As empresas afetadas pela Ryuk devem entrar em contato conosco. Há uma pequena – muito pequena – chance de podermos ajudá-los a recuperar seus dados sem precisar pagar o resgate.”
Embora as chances sejam muito pequenas, se seus dispositivos forem criptografados pelo Ryuk Ransomware, não custa verificar com a Emsisoft.
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE