O OldGremlin ransomware começou as suas actividades por volta de Março de 2020. Embora aparentemente de língua russa, o ransomware OldGremlin tem como alvos principais instituições russas, tais como bancos nacionais e empresas privadas do sector industrial ou médico.
De acordo com Oleg Skulkin, analista forense do Group-IB, os autores destes ataques são os únicos operadores de ransomware de língua russa a violar a regra ditada de não operar na Rússia e nos países pós-soviéticos.
Através do Ransomware as a Service (RaaS), o OldGremlin conseguiu um aumento significativo no número dos seus ataques. O valor do kit ransomware do grupo é relativamente baixo, tornando fácil para qualquer pessoa mergulhar no mundo obscuro dos ataques de resgate e, como resultado, aumentando o poder e a relevância do grupo na cena mundial.
Ao aceder ao ambiente através da interacção humana em e-mails maliciosos, o ransomware OldGremlin faz o download e executa malware adicional que concede acesso remoto aos atacantes. Na maioria dos casos, isto acontece sem que a vítima se aperceba de qualquer actividade invulgar.
Em todos os seus ataques, o grupo por detrás do OldGremlin demonstrou uma imaginação ilimitada. Para além de confiarem nas ferramentas personalizadas TinyPosh e TinyNode para acederem ao ambiente da vítima, também utilizam e-mails de phishing de lança com motivos muito diferentes.
Nas suas mensagens de correio electrónico, o grupo OldGremlin terá feito a figura de uma organização de prevenção da COVID-19, instituições financeiras, clínicas dentárias russas e até de um jornalista russo da RBC.
Com os métodos dos cibercriminosos a tornarem-se cada vez mais inventivos, a questão sobre os ataques ransomware já não é “seremos atacados” mas sim “quando seremos atacados”. Por esta razão, é essencial estar em boa companhia quando o dia trágico chega.
A Recuperação Digital tem vindo a ajudar as empresas a recuperar os seus dados há mais de 23 anos. Ao longo dos anos, adquirimos um know-how considerável que nos tornou uma das empresas líderes na recuperação de dados encriptados a partir ransomware.
A nossa equipa de desenvolvimento conseguiu encontrar uma solução que permite a recuperação de dados em quase todos os dispositivos de armazenamento, tais como servidores, bases de dados, máquinas virtuais, sistemas RAID e outros.
Estamos conscientes da importância de cada um dos dados dos nossos clientes. Por este motivo, agimos com discrição e segurança. Temos um acordo de confidencialidade (NDA) em todos os projectos e, claro, seguimos rigorosamente a General Data Protection Regulation (GDPR).
Os nossos especialistas estão disponíveis 24 horas por dia, 7 dias por semana e, na maioria dos casos, a restauração pode ser feita de forma completamente remota.
Por isso, contacte-nos e faça já o seu diagnóstico.
Todos os dias, os ataques de resgate ficam cada vez melhores. Após uma tentativa de ataque bem sucedida, o ransomware mapeia rapidamente os ficheiros mais importantes do utilizador para iniciar a encriptação. Os ficheiros Microsoft Office, bases de dados, PDFs e design estão entre os seus principais alvos.
O Ransomware foi concebido para ser imperceptível, pelo que pode desactivar todas as defesas do sistema sem ser notado e iniciar o processo de encriptação dos ficheiros. Embora o ransomware possa passar despercebido pelo sistema, ainda pode ser notado pelo utilizador, porque o ransomware utiliza os próprios recursos do sistema para fazer a encriptação, isto pode atrasar o sistema. O ransomware também altera as extensões dos ficheiros. Portanto, esteja atento a estes sinais: Abrandamento do sistema e extensões a serem adicionadas aos ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, é possível. Pode reiniciar o computador em modo seguro, o que limitará a acção do resgate, uma vez que os recursos do sistema ficarão bloqueados. Também pode desligar o computador da Internet, o que pode interromper a ligação dos hackers ao seu sistema, vale a pena lembrar que existe um programa de resgate que funciona mesmo sem estar ligado à Internet. Também pode iniciar o diagnóstico para identificar ameaças com o seu antivírus, a grande maioria dos antivírus tem esta função.
Mas há casos em que a encriptação foi interrompida pelo utilizador, alguns ficheiros já tinham sido afectados e isto causou um erro na encriptação e mesmo os hackers não conseguiram restaurar os ficheiros, mesmo com a chave de desencriptação. Nestes casos, apenas uma empresa de recuperação de dados, tal como a Digital Recovery, pode recuperar os ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, os ataques acontecem geralmente principalmente nos feriados e fins de semana durante as primeiras horas da manhã. Estes dias são escolhidos porque não há muitos utilizadores activos no sistema, o que impede que o ataque seja descoberto antes de a encriptação estar concluída.
Para saber mais, fale com os nossos especialistas.
A grande maioria dos resgates usa encriptação RSA [Rivest-Shamir-Adleman]-2048 e AES [Advanced Encryption Standard].
Para saber mais, fale com os nossos especialistas.
Antes de mais, não pagar o resgate. Não importa o que os hackers digam, não há garantia de que a chave de decifração seja efectivamente libertada após o pagamento do resgate.
A primeira coisa a fazer é informar as autoridades sobre o ataque, os governos têm departamentos especializados em cibercrimes que investigarão o ataque. Depois disso, verifique se as suas cópias de segurança foram afectadas, se foram, apenas uma empresa especializada na recuperação de dados pode recuperar os seus ficheiros, este é o passo seguinte. Contacte a Digital Recovery, que o ajudará na recuperação completa dos seus ficheiros.
Para saber mais, fale com os nossos especialistas.
Após o primeiro contacto e envio dos meios de comunicação afectados, diagnosticaremos o dispositivo para verificar a extensão dos danos causados pelo resgate, com isto podemos projectar a duração do processo, e fornecer o orçamento ao cliente. Após o orçamento ser aprovado pelo cliente, iniciamos o processo de recuperação, para isso dispomos de software exclusivo que pode, com a ajuda dos nossos especialistas, reconstruir os dados.
Se o cliente optar pela recuperação remota, em vez de nos enviar os suportes, enviará os ficheiros encriptados para um ambiente virtual, que é totalmente seguro, para que possamos aceder aos mesmos.
Após o fim do processo, faremos uma dupla verificação para que o cliente possa verificar a integridade dos ficheiros recuperados.
O pagamento só é efectuado após a entrega dos ficheiros e a validação dos mesmos pelo cliente.
Para saber mais, fale com os nossos especialistas.
Saiba mais sobre recuperação de dados e inovações tecnológicas.
