Após os ataques bem sucedidos feitos pelo Darkside Ransomware no Tubo Colonial e pelo REvil Sodinokibi Ransomware no Kaseya, ambos terminaram as suas operações. Isto abriu uma lacuna para que surgisse uma nova extensão de resgate para os protagonistas dos novos ataques e no chamado Ransomware as a Service (RaaS) que é a externalização dos ataques.
A partir desta lacuna, surgiram algumas famílias de ransomware que entraram na “disputa”, tais como BlackMatter Ransomware, Lockbit 2.0 Ransomware, entre outros.
Temos muito que falar sobre estas novas famílias de ransomware que pretendem levar por diante o legado de ataques bem sucedidos deixado por Darkside e REvil Sodinokibi Ransomware.
Vamos dar uma olhada mais atenta à BlackMatter Ransomware.
No final de Julho, BlackMatter apareceu num fórum russo afirmando ser um ransomware que contém as melhores partes de Darkside e REvil Sodinokibi Ransomware, ao contrário dos seus predecessores, não tem nenhum país restrito para ataques, como a Rússia, por exemplo, e também não encripta todos os ficheiros no computador, mas apenas uma parte, isto é feito para que o tempo de encriptação seja reduzido e as contramedidas não tenham tempo suficiente para serem activadas.
As únicas restrições para os alvos são:
- Hospitais;
- Instalações de infra-estruturas críticas (centrais nucleares, centrais eléctricas, instalações de tratamento de água);
- Indústria de petróleo e gás (oleodutos, refinarias de petróleo);
- Indústria da defesa;
- Empresas sem fins lucrativos;
- Sector governamental.
Estas restrições foram afixadas pelos próprios promotores de BlackMatter. Estas restrições foram feitas para que os mesmos erros cometidos por Darkside e REvil Sodinokibi não voltem a acontecer, erros que levaram à cessação dos seus serviços. Estas áreas atraem muita atenção dos funcionários governamentais, particularmente do governo dos EUA. Se a sua empresa não faz parte destes sectores, é um alvo para eles.
Dado todo este “poder” da BlackMatter, poderá estar a perguntar-se que contramedidas podem ser tomadas para evitar o pagamento do resgate.
Recuperação de arquivos encriptados pelo BlackMatter ransomware
A Digital Recovery desenvolveu uma tecnologia exclusiva capaz de recuperar ficheiros encriptados por ransomware de qualquer extensão, chamamos-lhe o Tracer.
Este processo de recuperação pode ser feito mesmo sem a chave de descodificação, porque acedemos ao disco rígido onde os ficheiros foram armazenados e somos capazes de os reconstruir.
Este tipo de recuperação era impossível até há dois anos atrás, pelo que ainda existem empresas que dizem que a recuperação de ficheiros atacados por ransomware é impossível.
Não aceitámos este facto e investimos muito no desenvolvimento de uma tecnologia adequada para tal, e após muitos investimentos e esforços, conseguimos finalmente criar esta tecnologia. Isto poupou aos nossos clientes um valor muito significativo para as suas empresas.
Todos os nossos serviços seguem as directrizes estabelecidas pelo GDPR (General Data Protection Regulation), para que a recuperação de dados encriptados seja feita de forma segura e discreta. Além de seguir estas directrizes, temos também um NDA (Non-Disclosure Agreement).
