Foi identificada uma nova extensão de ransomware, chamada Checkmate, que levou a numerosos ataques contra dispositivos de armazenamento em rede (NAS).
O Checkmate ransomware apareceu pela primeira vez em Maio de 2022, invadindo servidores fabricados pela empresa QNAP.
Numa declaração oficial da QNAP divulgada em Julho deste ano, a empresa explica que os hackers invadem o sistema “usando um ataque de dicionário para quebrar contas com palavras-passe fracas”.
Ataque de dicionário é o nome dado à estratégia de executar intrusões de força bruta para aceder aos logins e senhas dos utilizadores. Entre os milhões, se não milhares de milhões, de tentativas de login, as palavras do dicionário são amplamente utilizadas.
A QNAP também fez algumas recomendações para prevenir mais vítimas, incluindo a actualização para a versão mais recente do sistema e a análise das palavras-passe de todos os utilizadores do NAS.
O acesso foi possibilitado por uma prática comum dos utilizadores do servidor, que consistia em tornar os serviços das PMEs disponíveis na Internet. Estes permitem a partilha de dados através da rede, facilitando ao grupo a navegação em todo o servidor.
Depois de infectar uma máquina, o chequemate ransomware começa a roubar e encriptar os ficheiros encontrados, e pode chegar a qualquer dispositivo ligado à mesma rede. Os ficheiros recebem uma extensão chamada “.checkmate” e, após a sua aplicação, o acesso aos dados é bloqueado.
Para negociar com o grupo e tentar recuperar os seus dados, uma nota de resgate chamada “!CHECKMATE_DECRYPTION_README.txt” é anexada ao seu ambiente de trabalho, informando-o do que aconteceu e um link para os contactar. Os montantes solicitados pelo grupo para recuperação estão na região de 15.000 dólares em bitcoins.
Numa tentativa de ganhar a confiança das vítimas e provar que têm acesso à chave de desencriptação, o cabecilha anexa uma ligação ao telegrama, onde é possível restaurar até 3 pastas contendo ficheiros de 15 MB.
Contudo, é de notar que o pagamento de um resgate não é recomendado. De acordo com estudos, as empresas que utilizam esta solução têm 80% de hipóteses de serem novamente atacadas.
Idealmente, deve procurar a ajuda de uma empresa especializada na recuperação de dados.
Recuperar ficheiros encriptados pelo Checkmate ransomware
A Digital Recovery é uma empresa especializada na recuperação de ficheiros encriptados por ransomware.
Durante mais de 23 anos, confrontados com diferentes cenários de perda de dados, ganhámos a experiência de trabalhar em soluções em qualquer centro de dados. Incluindo os servidores NAS, onde opera o ransomaware Checkmate.
Devido às enormes proporções que um ataque de resgate pode assumir, temos uma divisão especializada para recuperar os seus ficheiros.
Na maioria dos casos, os nossos engenheiros também podem trabalhar de forma totalmente remota para recuperar as suas informações, tudo em conformidade com a General Data Protection Regulation (GDPR).
Para além do nosso serviço, oferecemos aos nossos clientes um acordo de confidencialidade (NDA), que garante o sigilo da informação.
Para mais informações, peça agora aos nossos peritos um diagnóstico.
