This post is also available in: Português Español
Método de extorsão dificulta defesas das vítimas, poupa recursos dos cibercriminosos e aumenta os lucros deles.
Um ransomwarefunciona basicamente da seguinte maneira: um determinado sistema é atacado, seus usuários perdem os acessos a ele e recebem mensagens dos crackers dizendo que precisam pagar para conseguirem usá-lo novamente. Ou seja, é essencialmente um sequestro de arquivos.
Em alguns casos, as vítimas pagam e tudo volta ao normal. Mas existem centenas de situações em que, mesmo desembolsando os valores exigidos pelos cibercriminosos, o acesso não é recuperado – algo completamente possível quando se está tratando com golpistas, cuja ética é obviamente questionável.
O problema é que agora os cibercriminosos estão experimentando um novo tipo de ataque que, ao invés de criptografar os dados, os destrói completamente. O objetivo é eliminar qualquer possibilidade de que as vítimas consigam recuperar seus dados se não pagarem o resgate.
Isso seria desastroso para quem sofrer um ataque de ransomware porque, embora às vezes seja possível recuperar arquivos criptografados sem pagar um resgate, a ameaça de servidores serem completamente corrompidos – se não houver pagamento – pode levar mais vítimas a ceder.
Como surgiu
A destruição de dados está ligada ao Exmatter, uma ferramenta de exfiltração .NET que já foi usada como parte dos ataques de ransomware BlackMatter – que agora pode estar operando com o nome de BlackCat.
Em ataques de ransomware anteriores, o Exmatter foi usado para pegar tipos de arquivos específicos de diretórios selecionados e carregá-los em servidores controlados pelo invasor. Isso é feito antes que o ransomware seja executado nos sistemas comprometidos e os arquivos sejam criptografados – com os invasores exigindo pagamento pela chave de liberação.
No entanto, a análise da nova amostra do Exmatter usada como parte de um ataque BlackCat sugere que, em vez de criptografar arquivos, a ferramenta de exfiltração é usada para corromper e destruir arquivos.
Por que destruir?
Alguns motivos já estão sendo cogitados. Um deles é que a ameaça de destruir dados em vez de criptografá-los pode ser um incentivo extra para as vítimas de ataques pagarem.
Eliminar a etapa de criptografar os dados torna o processo mais rápido, e elimina o risco de não receber o pagamento total – ou de que a vítima encontre outras maneiras de descriptografar os arquivos.
Além disso, desenvolver malware destrutivo é relativamente mais fácil do que projetar um ransomware. Portanto, usar ataques de destruição de dados pode consumir menos recursos e tempo, proporcionando aos invasores maiores lucros a custos mais baixos.
Assim, a tendência é que os cibercriminosos provavelmente continuarão experimentando a exfiltração e destruição de dados, algo que permite ainda a entrada de novos cibercriminosos – já que é possível atuar com profissionais menos habilidosos.
Como escapar
Existem ações que as empresas podem tomar para ajudar a tornar suas redes mais robustas e protegidas contra ataques de ransomware. Algumas etapas podem ser mais simples, enquanto outras exigem um pouco mais de organização.
Entre as medidas a serem tomadas está a aplicação de patches e atualizações de segurança em tempo hábil para impedir que crackers explorem vulnerabilidades conhecidas e lancem ataques, além de garantir que a autenticação multifator seja implementada em toda a rede com o intuito de ajudar a proteger os usuários.
Um cenário com proteção mais efetiva é a contratação de empresas especializadas, como a OSTEC, que oferecem soluções personalizadas de acordo com as demandas de cada empresa.
Fonte: ZDNet.
This post is also available in: Português Español