Ataque de ransomware usa ferramenta de monitoramento de funcionários

Foto por Rohan no Unsplash
Por: Jennifer Blair

Um ataque do ransomware Fog ocorreu em maio de 2025 a uma instituição financeira na Ásia, através de uma ferramenta legítima de monitoramento de funcionários, a Syteca, juntamente com ferramentas de hacking como a GC2, conforme noticiado pelo The Record.

 

O ransomware Fog é um tipo relativamente novo de software malicioso que explora vulnerabilidades em sistemas para obter acesso a uma rede. Uma vez dentro, ele se espalha rapidamente e criptografa arquivos no ambiente, impedindo o acesso aos dados.

 

Os atacantes infiltraram-se na rede da instituição por meio da Syteca e permaneceram dentro do sistema por cerca de duas semanas antes de lançar o ransomware.

 

Embora se acredite que a Syteca tenha sido usada para espionagem ou roubo de dados, o seu papel exato ainda é incerto, segundo os pesquisadores. Posteriormente, os invasores tentaram apagar os rastros, removendo o executável da Syteca e os arquivos de configuração da rede.

 

O ataque comprometeu diversos sistemas, incluindo dois servidores Microsoft Exchange.

 

Apesar de esses servidores frequentemente serem alvo de grupos de ransomware devido a vulnerabilidades antigas, não foi confirmado se foram o ponto de entrada inicial neste caso.

 

Especialistas em segurança dos Estados Unidos da América afirmam que o uso de softwares de vigilância comercial em incidentes de ransomware é raro, o que indica que os atacantes estão expandindo seus métodos.

 

Qual a importância para os defensores cibernéticos?

 

Especialistas alertam que criminosos cibernéticos estão utilizando softwares comerciais legítimos para contornar os alertas de segurança.

 

Ao se esconderem usando ferramentas aprovadas, os invasores focam no roubo de credenciais e engenharia social, em vez de criar malwares personalizados, o que é especialmente eficaz em ambientes que usam aplicações de baixa segurança.

 

As ferramentas utilizadas no ataque

 

A ferramenta Syteca foi instalada com o uso do Stowaway (uma ferramenta proxy de código aberto) e foi implantada juntamente com outras ferramentas de código aberto como GC2 (usada para executar comandos e roubar arquivos via Google Drive ou SharePoint) e Adaptix C2 Agent Beacon (uma ferramenta de testes de penetração semelhante ao Cobalt Strike).

 

Contexto sobre o ransomware Fog

 

O ransomware Fog surgiu em maio de 2024, inicialmente visando instituições de ensino nos EUA, incluindo a Universidade de Oklahoma.

 

Alguns incidentes envolveram e-mails de phishing e mensagens de resgate com referências a Elon Musk para provocar reação nas vítimas. Também foi oferecida uma opção de “descriptografar gratuitamente” caso a vítima aceitasse espalhar o ransomware para outro computador.

 

Phishing é uma técnica de fraude digital que utiliza mensagens falsas, geralmente disfarçadas como comunicações legítimas de empresas confiáveis, para enganar os utilizadores e levá-los a revelar dados pessoais, como senhas, números de cartão de crédito ou credenciais de acesso.

 

Esses casos continuam a mostrar que invasores, sejam ligados ao ransomware Fog ou a outros grupos que imitam suas táticas, estão expandindo seu conjunto de ferramentas com táticas frequentemente vistas em operações de espionagem cibernética realizadas por hackers apoiados por governos.

 

Artigos Relacionados:

A IA vai Revolucionar o Monitoramento dos Funcionários?

Prós e Contras de Monitoramento dos Funcionários

Formas de Burlar o Monitoramento de Capturas de Tela

10 Razões para Auto-hospedar seu Software de Controle de Horas

Como Implementar um Software de Controle de Tempo

Ver Mais