TugaTech

Categoria: REvil

  • Membro do grupo de ransomware REvil condenado a 14 anos de prisão

    Membro do grupo de ransomware REvil condenado a 14 anos de prisão

    Membro do grupo de ransomware REvil condenado a 14 anos de prisão

    O cidadão ucraniano foi condenado a quase 14 anos de prisão, e ao pagamento de 16 milhões de dólares em restituições, pelas suas ações dentro do grupo de ransomware REvil.

    Yaroslav Vasinksyi, também conhecido como “Rabotnik”, era membro do grupo de ransomware REvil, que terá participado em mais de 2500 ataques de ransomware. No total, o grupo terá obtido mais de 700 milhões de dólares em pagamentos de entidades que foram alvo do mesmo.

    Derivado das suas atividades dentro do grupo, “Rabotnik” foi condenado pelas autoridades norte-americanas a 13 anos e 7 meses de prisão. O tribunal deu como provado que Vasinksyi terá realizado vários dos ataques do grupo, enviando o malware para as empresas de forma a tentar obter receitas com o pagamento de resgate dos conteúdos encriptados ou roubados.

    O tribunal considera ainda que, embora as medidas tenham sido aplicadas pela lei norte-americana, as ações do grupo de ransomware atingiram empresas em todo o mundo.

    Em 2022, cerca de um ano depois de Vasinksyi ter sido detido na Polónia, o mesmo foi extraditado para os EUA, onde foi formalmente acusado dos crimes associados com o grupo de ransomware. Eventualmente este viria a considerar-se culpado pelos crimes cometidos.

    As autoridades apreenderam ainda mais de 39.89138522 bitcoins e 6.1 milhões de dólares que terão sido obtidos dos ataques realizados pelo grupo.

    O grupo REvil era conhecido por aplicar uma técnica de extorsão dupla, onde primeiro encriptava os conteúdos dos sistemas infetados, mas também roubava os mesmos e ameaçava publicar informação sensível caso o pagamento não fosse realizado.

  • O que sabemos da investigação ao grupo de ransomware LockBit

    O que sabemos da investigação ao grupo de ransomware LockBit

    O que sabemos da investigação ao grupo de ransomware LockBit

    De forma recente, um dos grupos de ransomware mais conhecidos no mercado, o LockBit, foi desmantelado numa mega operação das autoridades do Reino Unido.

    O grupo era um dos mais reconhecidos, e também dos mais antigos, tendo começado as suas atividades em meados de 2019. Ao longo dos anos, este terá atacado milhares de empresas, em algumas situações até mesmo instituições que outros grupos de ransomware não se focavam – como hospitais e centros críticos de segurança.

    Numa operação conjuga, várias autoridades em diferentes países desmantelaram praticamente todas as operações do grupo, mas também deixaram publicamente detalhes do mesmo. Os sites do grupo, onde anteriormente se encontravam as vítimas e dados associados às mesmas, encontra-se agora a apresentar informações sobre o grupo, os seus ataques, formas das vítimas tentarem recuperar conteúdos encriptados e outras informações.

    No entanto, esta operação também permitiu conhecer um pouco de como funciona o submundo do ransomware e dos grupos mais reconhecidos, e como as autoridades realizam as suas tarefas para os identificar.

    > Pagamento nem sempre leva a dados eliminados

    Em primeiro lugar, um dos principais pontos de um ataque ransomware encontra-se na extorsão das vítimas. Estas são levadas a pagar uma elevada quantia, para evitar que os seus dados sejam expostos online para qualquer um ver.

    No entanto, ao que parece no caso do LockBit, o grupo não estaria a eliminar os dados que possuía, mesmo depois das vítimas pagarem. As autoridades afirmam que muitas das vítimas que pagaram ainda teriam os dados guardados nos sistemas do grupo, o que poderia abrir portas para que, futuramente, esses dados fossem maliciosamente usados.

    O grupo, durante as suas operações e negociações, indicava às vítimas que depois do pagamento os dados seriam eliminados. No entanto, isso nem sempre acontecia, com as autoridades a confirmarem que existem ainda dados presentes de vítimas confirmadas que pagaram pelo resgate.

    > Vulnerabilidades afetam até os maus da fita

    Ao mesmo tempo, a investigação das autoridades também levou a uma curiosidade. Mesmo os grupos de ransomware, que atuam na margem da lei, possuem alguma lentidão a corrigir vulnerabilidades do software que usam.

    De acordo com o grupo de investigação vx-underground, um dos motivos que terá levado às autoridades obterem acesso aos sistemas do LockBit terá sido a exploração de uma falha de segurança no PHP. Isso terá permitido aos investigadores acederem aos sistemas do grupo, e eventualmente, a terem controlo do mesmo.

    Isto terá ocorrido porque os sistemas que eram usados pelo grupo ainda não se encontravam atualizados para corrigir estas falhas. Isso terá permitido às autoridades explorarem a mesma para realizarem as suas investigações.

    > As investigações podem demorar meses

    Embora apenas agora as autoridades tenham confirmado o desmantelamento do grupo, a investigação ao mesmo teria começado muito antes. A operação Cronos, que levou a esta atividade, terá sido iniciada anos antes da confirmação.

    Estima-se que a investigação começou em Abril de 2022, mas existe a possibilidade do grupo já se encontrar na mira de algumas autoridades ainda antes disso.

    > LockBit terá atacado milhares de empresas

    O grupo era conhecido como um dos mais ativos no mercado, mas ao mesmo tempo, não se conhecia inteiramente a extensão dos ataques realizados. Embora os sites do grupo na rede Tor apresentassem uma listagem das empresas afetadas, o número é consideravelmente superior.

    As autoridades afirmam que existem mais de 2000 empresas que foram afetadas pelo ransomware do LockBit, com o grupo a receber mais de 120 milhões de dólares em pagamentos das mesmas pelos resgates.

    > Encerramento do LockBit pode afetar outros grupos

    Embora o LockBit tenha sido um dos grupos mais reconhecidos no mercado, o seu desmantelamento agora pelas autoridades pode ter impacto também para outros grupos que atuam na mesma área.

    Ivan Gennadievich Kondratiev, um dos detidos que geria as operações do LockBit, acredita-se que teria ligações com outros grupos igualmente populares de ransomware, como o REvil, RansomEXX e Avaddon.

    Tendo em conta a sua detenção, isso pode ter impacto para outros grupos onde o mesmo atuava, que mesmo mantendo-se ainda em atividade, podem vir a começar também a ser alvo de investigações das autoridades.

    A apreensão da infraestrutura do LockBit também pode vir a permitir obter informações sobre atividades de outros grupos de ransomware, o que pode vir a levar a ainda mais baixas durante os próximos tempos.

    Não existe como negar que o desmantelamento do grupo de ransomware LockBit foi uma das atividades mais exaustivas das autoridades contra este género de crimes, e que certamente terá impacto para o futuro das mesmas e até para outros grupos que ainda se mantenham em atividade.

  • Autoridades dos EUA oferecem 10 milhões de dólares por informações do grupo Hive

    Autoridades dos EUA oferecem 10 milhões de dólares por informações do grupo Hive

    Autoridades dos EUA oferecem 10 milhões de dólares por informações do grupo Hive

    As autoridades dos EUA encontram-se a oferecer mais de 10 milhões de dólares em recompensa para quem consiga identificar o autor do ransomware Hive. Esta é mais uma medida das autoridades norte americanas para tentarem terminar com as atividades deste conhecido grupo de ransomware.

    De acordo com os dados do FBI, o grupo já terá extorquido mais de 100 milhões de dólares em 1300 empresas, de 80 países, que foram vítimas do ransomware. Estes dados estariam associados ao período entre Junho de 2021 e Novembro de 2022.

    Com isto em mente, as autoridades encontram-se agora a oferecer até 10,000,000 dólares em recompensa para quem consiga fornecer dicas úteis que possam ajudar a identificar os administradores deste grupo, com permissões especiais e elevadas no mesmo.

    As autoridades afirmam ainda que estão a oferecer até 5,000,000 dólares de recompensa para quem consiga fornecer informações que possam levar até aos autores de menor grau dentro do grupo ou à detenção dos mesmos.

    De notar que esta não é a primeira vez que as autoridades dos EUA lançam recompensas para identificar membros de grupos reconhecidos de ransomware. No passado, as autoridades já forneceram até 15 milhões de dólares para quem ajudasse a identificar membros de grupos como o Clop, Conti, Revil, entre outros.

    Ao mesmo tempo, esta medida surge depois do FBI ter, em Janeiro de 2023, conseguido obter acesso às chaves do site na rede Tor do grupo, bem como várias chaves de desencriptação de conteúdos das vítimas do mesmo. As autoridades conseguiram ainda infiltrar-se na rede interna do grupo, de onde foram recolhidas importantes informações sobre o mesmo e as suas atividades, que também ajudaram a identificar as vítimas.

  • Autoridades desmantelaram uma das maiores redes botnet da atualidade

    Autoridades desmantelaram uma das maiores redes botnet da atualidade

    Autoridades desmantelaram uma das maiores redes botnet da atualidade

    A botnet conhecida como “Qakbot” é uma das maiores e mais antigas redes em atividade na internet, mas foi agora desmantelada numa operação das autoridades sobre o nome de “Duck Hunt”.

    Esta operação, liderada pelo FBI, levou à apreensão de vários sistemas de controlo da botnet, que eram usados para o envio de comandos aos dispositivos infetados. Esta rede foi identificada como sendo a origem de mais de 40 ataques de ransomware contra empresas e entidades governamentais, causando milhares de dólares em prejuízos.

    As estimativas apontam que, apenas nos últimos 18 meses, a rede tenha criado prejuízos no valor de 58 milhões de dólares. Ao longo dos anos, esta rede tem sido usada como porta de entrada para diversos ataques de ransomware, de grupos como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e Black Basta.

    De acordo com o diretor do FBI, Christopher Wray, as vitimas encontravam-se distribuídas em diferentes setores a nível mundial. A botnet mantinha uma larga rede de sistemas infetados, que eram usados para enviar comandos e realizar ataques em larga escala.

    O FBI afirma que a rede contava com mais de 700,000 sistemas diferentes, mais de 200.000 encontravam-se nos EUA, que faziam parte da infraestrutura da botnet. Dento desta encontravam-se ainda sistemas usados para receberem e enviarem os comandos, em controlo dos gestores da rede.

    Num dos sistemas usado pelos administradores da Qakbot, as autoridades terão descoberto diversos ficheiros contendo informações relacionadas com as atividades presentes e passadas da Qakbot. Isto inclui mensagens e comunicação feitas entre o administrador da rede e interessados no uso da mesma.

    Foram ainda descobertas várias informações sobre vítimas de ataques realizados através da Qakbot, dados de pagamento, detalhes dos esquemas de ransomware e outras informações.

    Durante o final da semana passada, as autoridades tomaram o controlo da rede, passando a redirecionar todo o tráfego da mesma para um servidor em controlo do FBI, que foi usado para correr um comando que permite remover o malware dos sistemas infetados.

    Apesar de os dispositivos não terem sido diretamente notificados caso estivessem infetados, e a remoção do malware ter sido feita de forma silenciosa, os utilizadores podem vir a verificar se foram afetados através de ferramentas como o Have I Been Pwned e o site da Politie.

    No final, as autoridades não apenas desmantelaram as operações do malware, como também removeram o mesmo dos sistemas onde este se encontrava através do redireccionamento do tráfego para sistemas em controlo do FBI.

    De notar, no entanto, que esta tarefa não remove outro malware que possa encontrar-se no sistema, e que ainda possa estar a ser usado para ataques ou roubos de dados.

    Esta foi uma das maiores operadoras de desmantelamento de uma rede botnet realizada pelas autoridades dos EUA, sobretudo tendo em conta a dimensão da mesma e o número de potenciais vitimas – direta ou indiretamente – associadas com a mesma.

  • Ataques de ransomware estão cada vez mais sofisticados

    Ataques de ransomware estão cada vez mais sofisticados

    Ataques de ransomware estão cada vez mais sofisticados

    O ransomware é notícia nos jornais há vários anos consecutivos. Na busca por lucro, os criminosos têm visado quase todo o tipo de organizações, desde instituições de saúde e de ensino a prestadores de serviços e empresas industriais. A Kaspersky publicou um relatório que analisa o que aconteceu ao longo 2022, como está a ser 2023 e as principais tendências para este ano.

    Em 2022, as soluções Kaspersky detetaram mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação a 2021 (61,7 milhões). Já no início de 2023, assistimos a um ligeiro declínio do número de ataques de ransomware. Porém, estes tornaram-se mais sofisticados e direcionados. Além disso, houve uma mudança drástica entre os grupos de ransomware mais influentes e prolíficos. Os REvil e Conti, que ocupavam, respetivamente, o 2.º e 3.º lugar em termos de ataques no primeiro trimestre de 2022 foram substituídos, nos primeiros três meses de 2023, pelos Vice Society e BlackCat. Dois dos outros grupos mais ativos atualmente são os Clop e os Royal.

    Durante 2022, foram também descobertas modificações de ransomware multiplataforma que atraíram muita atenção dos analistas da Kaspersky. É o caso do Luna e do Black Basta. Os cibercriminosos tornaram-se ainda mais profissionais, com grupos como o BlackCat a melhorar e a aperfeiçoar as suas técnicas ao longo do ano. A situação geopolítica também está a ser explorada por alguns grupos de ransomware para promover os seus interesses, como o caso do ‘stealer’ Eternity, com os cibercriminosos a criar todo um ecossistema com uma nova variante do ransomware.

    Para 2023, os peritos da Kaspersky apresentaram três tendências principais no desenvolvimento de ameaças de ransomware. A primeira refere-se à funcionalidade de auto-propagação ou uma imitação da mesma, com os Black Basta, LockBit e Play entre os exemplos mais significativos de ransomware que se propaga por si próprio.

    Outra tendência emergente é a utilização abusiva de controladores para fins maliciosos. Algumas das vulnerabilidades dos controladores AV foram exploradas pelas famílias de ransomware AvosLocker e Cuba, sendo que a análise da Kaspersky mostra que até a indústria de jogos pode ser vítima deste tipo de ataque. Supostamente, o controlador anti-cheat Genshin Impact foi utilizado para eliminar a proteção de endpoint na máquina visada. Uma ameaça que também paira sobre vítimas de elevado perfil, como instituições governamentais em países europeus.

    Por último, os especialistas da Kaspersky  alertam para o facto de os maiores grupos de ransomware mundiais estarem a adotar código divulgado ou vendido por outros cibercriminosos para melhorar as funções do malware. Recentemente, o grupo LockBbit adotou, pelo menos, 25% do código Conti divulgado, e emitiu uma nova versão inteiramente baseada nele. Este tipo de iniciativas proporciona aos afiliados semelhanças e facilidades para trabalharem com famílias de ransomware com as quais já estavam habituados a trabalhar, podendo reforçar as suas capacidades ofensivas, o que deve ser tido em conta na estratégia de defesa das empresas.

    “Os grupos de ransomware surpreendem-nos continuamente e nunca param de desenvolver as suas técnicas e procedimentos. O que temos vindo a observar ao longo do último ano e meio é que estão gradualmente a transformar os seus serviços em empresas de pleno direito. Este facto torna até os atacantes amadores bastante perigosos”, afirma Dmitry Galov, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky. “Por isso, para proteger a sua empresa e os seus dados pessoais, é muito importante manter os seus serviços de cibersegurança atualizados.”

  • Dados sensíveis da Acer estão à venda na dark web

    Dados sensíveis da Acer estão à venda na dark web

    Dados sensíveis da Acer estão à venda na dark web

    A Acer pode ter sido a mais recente alvo de um ataque informático, tendo em conta uma recente descoberta sobre um fórum da dark web. No mesmo, o alegado hacker encontra-se a vender informação sensível associada com a empresa.

    De acordo com a mensagem publicada no site, o hacker estará a vender mais de 160 GB de dados pertencentes à Acer, em mais de 3 mil ficheiros diferentes. Os conteúdos indicam ser dados confidenciais da empresa, associados com produtos da mesma, e também alguma informação sensível associada com a empresa e funcionários.

    Existem ainda dados associados com os sistemas internos da Acer, bem como materiais usados pelos funcionários para reparações e instalações do Windows em diversos produtos. Dados dos funcionários também estarão entre os conteúdos alegadamente disponíveis – embora se desconheça a existência de dados associados a clientes.

    dados da acer à venda

    O vendedor destes dados afirma que os conteúdos terão sido obtidos em Fevereiro de 2023. Por volta desta altura a empresa não confirmou qualquer ataque direto. No entanto, em 2021, a empresa terá sido alvo de um ataque de ransomware, por parte do grupo REvil, onde poderão ter sido comprometidos dados internos.

    Até ao momento a Acer não deixou qualquer comunicado relativamente a esta situação.

  • BlackCat é um dos grupos de ransomware em maior crescimento nos últimos meses

    BlackCat é um dos grupos de ransomware em maior crescimento nos últimos meses

    hacker sobre fundo de glitch

    O novo relatório da Kaspersky, ‘A bad luck BlackCat‘, revela detalhes sobre dois ciberataques protagonizados pelo grupo de ransomware BlackCat. A complexidade do malware utilizado, combinada com a vasta experiência dos indivíduos responsáveis, fazem do grupo um dos principais intervenientes no panorama atual de ransomware. As ferramentas e técnicas que o grupo implementa durante os seus ataques confirmam a ligação entre o BlackCat e outros grupos de ransomware, tais como BlackMatter e REvil.

    O grupo de ransomware BlackCat funciona pelo menos desde dezembro de 2021. Ao contrário de outros ataques de ransomware, o malware BlackCat utiliza a linguagem de programação Rust. Graças às capacidades avançadas de compilação cruzada do Rust, o BlackCat pode visar tanto sistemas Windows como Linux. Por outras palavras, o BlackCat introduziu grandes avanços e uma mudança nas tecnologias utilizadas para contornar os desafios do desenvolvimento ransomware.

    Além disso, afirma ser sucessor de grupos muito conhecidos de ransomware, como o BlackMatter e o REvil. Dados sugerem que pelo menos alguns membros do novo grupo BlackCat têm ligações diretas com o BlackMatter, uma vez que utilizam ferramentas e técnicas que já foram amplamente utilizadas por este.

    No novo relatório ‘A bad luck BlackCat’, investigadores da Kaspersky revelam novos detalhes sobre dois ataques de particular interesse. Um demonstra o risco que representam os recursos partilhados de hospedagem de cloud, o outro destaca a abordagem ágil do malware personalizado que é utilizado pelo grupo BlackMatter e reutilizado pelo BlackCat.

    O primeiro caso diz respeito a um ataque contra um fornecedor vulnerável de ERP (planeamento de recursos empresariais) no Médio Oriente que albergava vários websites. Os atacantes implementaram simultaneamente dois executáveis diferentes no mesmo servidor físico, dirigidos a duas organizações diferentes que estavam virtualmente alojadas no mesmo. Embora o grupo tenha confundido o servidor infetado com dois sistemas físicos diferentes, os atacantes deixaram vestígios que foram importantes na determinação do estilo de funcionamento do BlackCat.

    Os investigadores da Kaspersky descobriram que os cibercriminosos exploram o risco de ter ativos partilhados nos recursos da Cloud. Além disso, neste caso, o grupo implementou ainda um ficheiro Mimikatz em série juntamente com executáveis e utilitários de recuperação de senhas de rede Nirsoft. Um incidente semelhante teve lugar em 2019, quando o REvil, um grupo predecessor da atividade do grupo BlackMatter, pareceu penetrar um serviço cloud que dava apoio a um grande número de centros dentários dos EUA. É muito provável que o grupo BlackCat também tenha adotado algumas destas antigas táticas.

    O segundo caso tem como visada uma empresa de petróleo, gás, mineração e construção na América do Sul e evidencia a ligação entre a atividade do ransomware BlackCat e do BlackMatter. O grupo por detrás deste ataque de ransomware (que parece ser diferente do caso anterior), não só tentou implementar o ransomware BlackCat na rede-alvo, como conseguiu conduzir esta tentativa através da instalação de um recurso de transferência de informação personalizado – o “Fendr”, de acordo com os especialistas, conhecido anteriormente por ExMatter e utilizado até então exclusivamente pelo grupo BlackMatter.

    “Depois de os grupos REvil e BlackMatter terem cessado as operações, era apenas uma questão de tempo até que outro grupo de ransomware tomasse o seu lugar. O conhecimento para desenvolvimento de malware, a escrita de raiz numa linguagem de programação invulgar, e a experiência na manutenção de infraestruturas estão a tornar o grupo BlackCat num dos principais agentes de cibercrime no panorama do ransomware.

    Analisando estes incidentes, destacamos as principais características, ferramentas e técnicas utilizadas pelo BlackCat ao penetrar nas redes das suas vítimas. Este conhecimento ajuda-nos a manter os nossos utilizadores seguros e protegidos de todas as ameaças, conhecidas e desconhecidas. Instamos a comunidade de cibersegurança a unir forças e trabalhar em conjunto contra novos grupos de cibercrime para um futuro mais seguro”, diz Dmitry Galov, investigador de cibersegurança da equipa global de Investigação e Análise da Kaspersky.

  • Ransomware mais rápido pode encriptar 53GB de conteúdos em menos de quatro minutos

    Ransomware mais rápido pode encriptar 53GB de conteúdos em menos de quatro minutos

    Um ataque de ransomware é uma verdadeira corrida contra o tempo. Se for identificado de forma precoce, existe a possibilidade de os administradores de sistemas afetados pelos mesmos ainda conseguirem salvaguardar alguns dos dados para evitar que os mesmos sejam encriptados.

    No entanto, a tecnologia também tem vindo a evoluir consideravelmente para permitir que este processo seja realizado de forma rápida. E os dados mais recentes da empresa Splunk demonstram que está cada vez mais simples e rápido para os operadores de grandes ataques de ransomware encriptarem bastante conteúdo em poucos minutos.

    A empresa analisou os ransomwares mais usados na atualidade, avaliando em quanto tempo demoram a encriptar os conteúdos de um sistema – de forma a identificar qual a ameaça mais rápida. De acordo com os testes, o ransomware LockBit foi o mais rápido nesta tarefa, tendo encriptado 53GB de dados em apenas quatro minutos e nove segundos.

    detalhes dos tempos para encriptar conteúdos de ransomware

    O teste foi realizado num sistema Windows Server 2019, contendo 98.561 ficheiros de diferentes formatos – a maioria documentos. Em teste foram usadas várias amostras de ransomware popular no mercado, entre os quais da REvil, Darkside, Babuk, Maze, LockBit, entre outros.

    No total, o Lockbit foi o mais rápido a infetar os sistemas das vítimas, tendo encriptado todos os conteúdos em menos de cinco minutos de duração média – se tivermos em conta todas as amostras que foram testadas de variantes do mesmo.

    Em segundo lugar encontra-se outro ransomware conhecido, o Babuk, com uma duração média de 6 minutos e 34 segundos para encriptar os conteúdos.

  • Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Esta dica poderia ser colocada numa lista do “Top 10 das medidas de segurança mais parvas”, mas a verdade é que possui um certo fundamento – e talvez seja melhor continuar a ler para perceber o motivo.

    A Internet é um meio inseguro, e não é muito difícil de se encontrar esquemas ou conteúdos maliciosos ao clicar de um link. Obviamente, a navegação com um programa de segurança atualizado e confiável é sempre algo que recomendamos… mas segurança nunca é demais.

    Se existe uma forma de poder ter uma camada adicional de segurança no sistema, e totalmente gratuita, porque não? O TugaTech possui uma: instale o pacote de idioma Russo no seu sistema Windows.

    Mas porquê?

    Vamos explicar. Nos últimos tempos temos vindo a verificar um aumento considerável no número de ataques com origem em ransomware. É uma prática lucrativa para os atacantes, ao mesmo tempo que causa grandes prejuízos para quem é afetado.

    Ao mesmo tempo, também têm vindo a surgir várias notícias sobre grupos de ransomware que vão tendo os seus responsáveis detidos, como é o caso do grupo REvil recentemente. E se olharmos para estas detenções, existe um padrão bastante comum: a maioria foi feita na Rússia.

    Rússia bandeira

    Isto possui uma explicação. A legislação russa sobre ciberataques é consideravelmente mais leviana do que a existente nos restantes países, sobretudo para quem realiza esses mesmos ataques. Obviamente, isto será um aclamativo para atacantes, que baseiam muitas das suas operações na Rússia.

    Estas leis mais “leves” possuem no entanto algumas clausulas – não estabelecidas propriamente como “lei”, mas como conhecimento urbano. A maioria das autoridades russas não realizam investigações aprofundadas a casos de ciberataques… se quem realiza os mesmos não atacar empresas ou cidadãos na Rússia.

    Ou seja, se um grupo ou atacante não se focar em ter as suas atividades a afetar empresas sediadas na Rússia, então existe uma maior probabilidade de não se ter tantos problemas com a lei – isto não torna o ataque legal, obviamente. Mas a diferença é considerável, e é algo que estes grupos aproveitam.

    Existe bastante malware que se foca em infetar utilizadores em vários países, mas ao mesmo tempo possui também ele “verificações” para não infetar sistemas que estejam localizados na Rússia, desde verificações da localização GPS ou… acertou… a verificação dos pacotes de idiomas instalados no sistema.

    Existem muitas variantes de ransomware e malware em geral que, antes de realizarem qualquer ataque, verificam se o utilizador possui o idioma russo instalado no sistema, e se tal acontecer, suspendem o ataque.

    O mais interessante será que nem necessita de usar propriamente o idioma, basta que o pacote do idioma esteja instalado no sistema para tal. De longe isto impede todo e qualquer ataque, e tão pouco a instalação de malware e ransomware nos sistemas em todas as suas variantes… mas é uma pequena camada que pode fazer, sem grande trabalho, e permite ter um extra de segurança. Portanto, porque não?

    > Como instalar o pacote de idioma russo

    A instalação do pacote de idiomas é bastante simples de ser feita. Bastará aceder às Definições do Windows > Hora e Idioma > Linguagem e Região.

    Nesta opção, carregue sobre “Adicionar um idioma” e pesquise pelo “Russo”. Feito isto, basta seguir os passos.

    pacote de idioma russo

    Certifique-se que não marca a opção de Definir o Idioma como apresentação do Windows, ou vai alterar o idioma principal do sistema.

    Feito isto, basta aguardar que o pacote de idioma seja descarregado para o sistema, o que pode demorar alguns minutos.

    > Continue a ter atenção…

    Como referido anteriormente, esta pequena “dica” não vai impedir todo e qualquer malware de se instalar no sistema, portanto não deve ser nunca vista como uma alternativa a meios de segurança, tanto em nível de software de segurança no sistema, como de backup e próprias práticas seguras de navegação online.