Geral 4min de Leitura - 23 de novembro de 2020

Malwares para remover agora mesmo

Botão de teclado de computador com o desenho de um inseto.

This post is also available in: Português Español

Criados para instalar Ransomwares, alguns malwares são tão letais que devem ser eliminados imediatamente – exigindo checagens completas nas redes corporativas.

O tom alarmista das frases acima está longe de qualquer exagero. Afinal, alguns nomes do cibercrime chegaram em um nível extremamente devastador – a ponto de demandarem tanta atenção que é preciso parar tudo e se concentrar em como removê-los.

O motivo é que os operadores de ransomware evoluíram demais. Saíram do status de gangues de malware amadoras para serem cartéis de crimes cibernéticos complexos, com habilidades, ferramentas e orçamentos pomposos.

Nesse contexto, contam com parcerias de vários níveis com outras operações do crime cibernético. Chamados de “corretores de acesso inicial”, esses grupos operam como uma cadeia de suprimentos do submundo do crime digital, fornecendo às gangues de ransomware acesso a grandes coleções de sistemas comprometidos. Esses sistemas permitem que essas gangues obtenham acesso fácil a redes corporativas, criptografando arquivos para exigir resgates dos mais variados valores.

Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

1) Vendedores de endpoints RDP comprometidos
Grupos de criminosos realizam ataques de força bruta contra estações de trabalho, ou servidores configurados para acesso RDP remoto – que também foram deixados expostos na Internet com credenciais fracas. Esses sistemas são posteriormente vendidos nas chamadas “lojas RDP”, de onde equipes de ransomware geralmente selecionam sistemas que acreditam estar localizados dentro da rede de seus alvos.

2) Vendedores de dispositivos de rede crackeados
Cibercriminosos também estão usando exploits de vulnerabilidades conhecidas para assumir o controle dos equipamentos de rede de uma empresa, como servidores VPN, firewalls ou outros periféricos. O acesso a esses dispositivos e às redes internas é vendido em fóruns clandestinos, ou diretamente para gangues de ransomware.

3) Vendedores de acesso computadores já infectados com malware
Muitos dos botnets de malware frequentemente vasculham computadores em busca de sistemas em redes corporativas para invadi-los. Em seguida, vendem o acesso a outras operações do cibercrime, incluindo gangues de ransomware.

Luta constante

A maneira mais prática de evitar o ransomware costuma ser a implantação de métodos de proteção contra esses três tipos de vetores de acesso inicial. Ou seja, prevenir é melhor que remediar. No entanto, mesmo que os “escudos” contra os dois primeiros normalmente envolvam boas políticas de senha e manter o equipamento atualizado, o terceiro vetor é mais difícil de se proteger.

Motivo: os operadores de botnet de malware muitas vezes se concentram em engenharia social para enganar os usuários, levando-os a instalar malwares em seus sistemas sem saberem disso – mesmo se os computadores estiverem executando softwares atualizados.

Nesse contexto, alguns nomes se destacaram recentemente no mundo do cibercrime – e estão listados abaixo. Caso algum seja detectado, os administradores devem parar o que estiverem fazendo, colocar os sistemas offline e remover o malware. Afinal, são perigosos demais para ficarem em segundo plano.

EMOTET

Eis aquele que é considerado o maior botnet de malware da atualidade. Existem poucos casos em que o Emotet esteve envolvido diretamente com gangues de ransomware, mas muitos ataques foram rastreados até se descobrir que se tratava de infecções do Emotet. É que normalmente a Emotet vendia o acesso a sistemas infectados para outras gangues de malware, que mais tarde vendiam seu próprio acesso a gangues de ransomware. Hoje, sua cadeia de infecção de ransomware mais comum envolve o Trickbot e Ryuk.

TRICKBOT

É bastante semelhante ao Emotet. Ele infecta suas próprias vítimas, mas também é conhecido por comprar acesso a sistemas infectados pelo Emotet para aumentar seu potencial.

Nos últimos dois anos, pesquisadores de segurança viram o Trickbot vender acesso a seus sistemas para gangues de cibercrimes – que mais tarde implantaram o Ryuk e depois o ransomware Conti.

BAZARLOADER

Atualmente é considerado um backdoor modular desenvolvido com links da gangue principal do Trickbot. Independentemente de como surgiram, o grupo está seguindo o modelo do Trickbot, e já fez parceria com equipes de ransomware para fornecer acesso aos sistemas infectados por eles. Assim, o BazarLoader tem sido visto como o ponto de origem para infecções com o ransomware Ryuk.

QAKBOT

Conhecido por diversos nomes – como QakBot, Pinkslipbot, Qbot ou Quakbot – às vezes é referido dentro da comunidade infosec como o Emotet mais lento. O motivo é que geralmente faz o que o Emotet faz, porém meses depois – o que não diminui seu potencial de causar estragos.

Com a gangue Emotet permitindo que seus sistemas sejam usados para implantar ransomware, o QakBot também criou parcerias com diferentes grupos de ransomware. Primeiro com o MegaCortex, depois com ProLock e, atualmente, o grupo Egregor.

SDBBOT

Operada por um grupo de criminosos virtuais conhecido como TA505, está longe de ser uma cepa de malware comum. Portanto, não deve ser menosprezada. Afinal, já foi vista como o ponto de origem de incidentes em que o ransomware Clop foi implantado – com prejuízos consideráveis aos infectados.

DRIDEX

Esta é mais uma gangue de trojan bancário que se reinventou e passou a atuar como um “downloader de malware”, seguindo o que fez o Emotet e o Trickbot anos atrás.

Embora no passado o botnet Dridex tenha usado campanhas de spam para distribuir o ransomware Locky a usuários aleatórios, nos últimos anos eles também estão usando computadores infectados por eles para lançar cepas de ransomware BitPaymer ou DoppelPaymer – o que leva a ataques mais direcionados contra alvos de alto valor. Em suma, resolveram ser snipers focados em dar o tiro certo.

ZLOADER

Em uma expansão rápida e consistente, o Zloader já estabeleceu parcerias com os operadores das variedades de ransomware Egregor e Ryuk. É considerado por especialistas como um dos nomes com maior capacidade de crescimento, tendo tudo para entrar no pódio dos mais perigosos.

BUER LOADER

É uma operação de malware que foi lançada no ano passado, e estabeleceu uma reputação respeitável no submundo do crime cibernético para fazer parcerias com grupos de ransomware.
Em alguns incidentes nos quais o ransomware Ryuk era inicialmente o suspeito, dias depois descobriu-se que estavam relacionados a infecções pelo Buer.

PHORPIEX

Também chamado de Trik, está entre os menores, mas não menos perigoso. Afinal, ataques com o ransomware Avaddon vistas no início deste ano foram associadas ao Phorpiex. Embora não sejam ainda renomados, grande parte dos especialistas acredita que devem ser tratados com o mesmo nível de atenção que se dá ao Emotet, Trickbot e vários outros.

COBALT STRIKE

Na verdade, trata-se de uma ferramenta de teste de penetração desenvolvida para pesquisadores de segurança cibernética, mas que também costuma ser usada por times de malware.

As empresas não são diretamente infectadas com o CobaltStrike. Contudo, muitas gangues de ransomware implantam componentes CobaltStrike como parte de suas intrusões – sendo um precursor do ataque real de ransomware.

Por isso, o CobaltStrike foi incluído nesta lista, pois pode ser tão perigoso quanto uma cepa de um malware de fato. Quem encontrá-lo em sua rede, e não estiver executando um teste de penetração, é sinal de perigo. Vale a mesma regra para os outros: pare o que estiver fazendo, coloque os sistemas off-line e não descanse enquanto não retirá-lo por completo.

This post is also available in: Português Español