Ryuk Ransomware atacou a Epiq Global através de infecção do TrickBot

Edivaldo Brito

4 anos atrás

O Ryuk Ransomware atacou a Epiq Global através de infecção do TrickBot, o que fez a empresa colocar seus sistemas em modo off-line. Conheça melhor os detalhes desse incidente.

O TrickBot é mais comumente instalado pelo Emotet Trojan, que é espalhado por e-mails de phishing. Uma vez instalado, o TrickBot coleta vários dados, incluindo senhas, arquivos e cookies, de um computador comprometido e tenta se espalhar lateralmente pela rede para coletar mais dados.

Quando terminar de coletar dados em uma rede, o TrickBot abrirá um shell reverso para os operadores Ryuk.

Os atores Ryuk terão acesso ao computador infectado e começarão a realizar o reconhecimento da rede. Depois de obter credenciais de administrador, eles implantarão o ransomware nos dispositivos da rede usando o PowerShell Empire ou PSExec.

Agora, a gigante dos serviços jurídicos e de e-discovery Epiq Global colocou seus sistemas off-line no sábado após a implantação do Ryuk Ransomware começar a criptografar dispositivos em sua rede.

Ryuk Ransomware atacou a Epiq Global através de infecção do TrickBot

Em 2 de março, o repórter jurídico Bob Ambrogi deu a notícia de que a Epiq havia colocado seus sistemas off-line globalmente depois de detectar um ataque cibernético.

Essa interrupção afetou suas plataformas de e-Discovery, o que impossibilitou que clientes legais acessassem os documentos necessários para processos judiciais e prazos de clientes.

Mais tarde, a Epiq afirmou que eles foram afetados por um ataque de ransomware e colocou seus sistemas offline para conter a ameaça.

“Em 29 de fevereiro, detectamos atividades não autorizadas em nossos sistemas, o que foi confirmado como um ataque de ransomware. Como parte de nosso abrangente plano de resposta, imediatamente colocamos nossos sistemas off-line globalmente para conter a ameaça e começamos a trabalhar com terceiros forenses. empresa para conduzir uma investigação independente.”

“Nossa equipe técnica está trabalhando em estreita colaboração com especialistas de terceiros de classe mundial para resolver esse problema e colocar nossos sistemas on-line de uma maneira segura, o mais rápido possível.”

“As autoridades federais também foram informadas e estão envolvidas na investigação.”

“Como sempre, proteger as informações de clientes e funcionários é uma prioridade crítica para a empresa. No momento, não há evidências de transferência não autorizada, uso indevido ou exfiltração de dados em nossa posse.”

Mais tarde naquela noite, o TechCrunch informou que eles foram informados de que o ataque afetou todos os 80 escritórios globais da Epiq e seus computadores.

O ataque da Epiq Global começou com uma infecção pelo TrickBot

Recentemente, uma fonte do setor de segurança cibernética compartilhava exclusivamente informações com o site BleepingComputer, que esclarece como a Epiq Global foi infectada.

Em dezembro de 2019, um computador na rede da Epiq foi infectado pelo malware TrickBot.

No caso da Epiq Global, o Ryuk foi implantado em sua rede na manhã de sábado, 29 de fevereiro de 2020, quando o ransomware começou a criptografar arquivos nos computadores infectados.

Ao criptografar arquivos, o ransomware cria uma nota de resgate chamada RyukReadMe.html em todas as pastas. Todos os arquivos criptografados também teriam a extensão .RYK anexada a eles.

Embora o Ryuk seja considerado um ransomware seguro sem nenhuma fraqueza na criptografia, Brett Callow, da Emsisoft, disse ao BleepingComputer que pode haver uma pequena chance de ajudar a recuperar arquivos criptografados pelo ransomware Ryuk.

Sobre o Ryuk, Callow disse ainda que:

“As empresas afetadas pela Ryuk devem entrar em contato conosco. Há uma pequena – muito pequena – chance de podermos ajudá-los a recuperar seus dados sem precisar pagar o resgate.”

Embora as chances sejam muito pequenas, se seus dispositivos forem criptografados pelo Ryuk Ransomware, não custa verificar com a Emsisoft.