Nova franquia de ransomware sequestra dados de empresas brasileiras

Erik Silva
3 Min Read

Operação mira setores de educação e manufatura

Uma nova operação criminosa de sequestro de dados, identificada como Vect, começou a fazer vítimas no Brasil e na África do Sul no início de janeiro. O ataque foca principalmente em organizações dos setores de educação e manufatura, com roubos de dados que já chegaram a 150 gigabytes.

Índice deste conteúdo

O grupo opera no modelo conhecido como “Ransomware como Serviço”, que funciona de forma similar a uma franquia comercial. Os desenvolvedores criam o vírus e toda a infraestrutura técnica, enquanto os “afiliados” executam os ataques e dividem os lucros.

Custo de entrada e anonimato

Para participar do esquema, os criminosos pagam uma taxa de US$ 250 em Monero. Essa criptomoeda é utilizada especificamente por dificultar o rastreamento, pois ofusca a identidade de quem envia e recebe os valores, diferentemente do Bitcoin.

Um analista de ameaças cibernéticas comenta a estratégia financeira do grupo. “O uso exclusivo de Monero demonstra que estamos lidando com operadores que entendem profundamente de segurança operacional. Eles não deixam rastros financeiros.”

Tecnologia para acelerar o bloqueio

O Vect se diferencia pelo uso do algoritmo de criptografia ChaCha20, desenvolvido para ser veloz mesmo em computadores mais simples. Essa tecnologia torna o processo cerca de 2,5 vezes mais rápido do que os padrões comuns em sistemas sem aceleração específica, o que reduz o tempo de reação das equipes de defesa.

Outra tática sofisticada envolve forçar os computadores infectados a reiniciarem em “Modo de Segurança”. Como a maioria dos antivírus não carrega nesse modo de diagnóstico, o vírus consegue criptografar os arquivos sem ser detectado ou bloqueado pelas ferramentas de proteção.

Ataque destrutivo e dupla extorsão

O malware foi projetado para atacar ambientes Windows, Linux e plataformas de virtualização VMware ESXi. Ao mirar nos servidores virtuais, a praga digital pode paralisar toda a infraestrutura de uma organização de uma só vez.

Antes de bloquear o acesso aos arquivos, o grupo realiza as seguintes ações para pressionar a vítima:

  • Rouba grandes volumes de dados pessoais e contratuais;
  • Desliga bancos de dados e interrompe softwares de backup;
  • Apaga cópias de segurança automáticas do sistema;
  • Ameaça publicar as informações em um site de vazamentos caso o resgate não seja pago.

Os invasores costumam ganhar acesso através de conexões remotas expostas ou e-mails falsos que enganam funcionários. Toda a negociação e operação ocorrem através da rede Tor para manter o anonimato dos envolvidos.

ByErik Silva
Follow:
Jornalista, Redator, Editor e Social Mídia. Com experiência na administração de redes sociais, Designer Gráfico, elaboração e gerenciamento de sites CMS com especialização em WordPress e Web Service. SEO (Otimização de motores de busca). Mais de 10 anos de experiência com integração em Comunicação e Marketing
Artigo anterior Xiaomi prepara retorno da linha Mix com sistema de lentes magnéticas
Próximo artigo Corinthians lidera ganho de seguidores em janeiro seguido por Flamengo e Santos