This post is also available in: Português
Dois ransomwares recém-descobertos mostram como o setor tem ainda muito espaço para evoluir e ser ainda mais letal.
O complexo mundo das ameaças à segurança digital vê grandes nomes já consagrados em plena atividade, o que não impede o surgimento de novidades com imenso potencial de invasão. Prova disso é a descoberta de duas formas de ransomware com características muito diferentes, mostrando que os criminosos virtuais seguem versáteis e vorazes.
Essas duas formas de ransomware surgiram em fevereiro, e se chamam AlumniLocker e Humble. Ambas tentam extorquir resgates em bitcoin, cada uma à sua maneira.
A AlumniLocker, por exemplo, exige o pagamento de 10 Bitcoins da vítima infectada – um valor atualmente equivalente a cerca de US$ 450 mil. Convertendo em reais, o montante ultrapassa a casa dos R$ 2,5 milhões.
Diferentes entradas
Apesar de ser novo, já se descobriu como o ransomware é entregue às vítimas. Ele chega por meio de PDF malicioso anexado a emails fraudulentos, que afirmam ser uma fatura que é distribuída por phishing. O PDF contém um link que extrai um arquivo ZIP, que então executa um script PowerShell para descartar a carga útil e executar o ransomware.
Tem dado certo, haja visto o crescente número de campanhas do ransomware. Nesse contexto, os invasores por trás do AlumniLocker ameaçam publicar dados roubados de suas vítimas se não forem pagos em 48 horas. Contudo, como o valor de resgate é bastante alto, há registros de infectados que simplesmente não pagam – e ainda assim muitas vezes acabam tendo poucos impactos negativos.
É que o AlumniLocker tem alguns defeitos. Seu site de vazamento de dados, por exemplo, não funciona direito. Pode ser um indicativo de que os responsáveis pelo são amadores, ou seja, estão apenas começando – o que não necessariamente é um alívio, pois rapidamente podem melhorar seus ataques.
“Parece que este pode ser um novo grupo, que não tem grande experiência nas cobranças dos valores, já que a demanda de resgate é muito maior do que o normal. O fato de o local do vazamento não funcionar é outro exemplo que indica que são novatos”, disse Jon Clay, diretor de comunicações de ameaças globais da Trend Micro, a empresa que até agora mais o estudou.
Novos alvos
Se os valores exigidos pelo AlumniLocker são gigantes, o Humble ransomware parece fazer jus ao nome que carrega – em inglês, significa “humilde”. Afinal, exige apenas 0,0002 Bitcoins, o que dá atualmente pouco menos de US$ 10, para a devolução de arquivos. É um indicativo de que o Humble pode ter como alvo as pessoas, e não as empresas.
Ainda não se sabe como exatamente o Humble é distribuído, mas os pesquisadores observam que é provável que seja por meio de ataques de phishing.
Em uma estratégia para forçar as vítimas a pagar o resgate, o Humble afirma que, se alguém reiniciar o sistema, o Master Boot Record (MBR) será reescrito, tornando o computador inutilizável. Uma segunda versão traz a mesma ameaça, mas diz que isso acontecerá se não forem pagos em até cinco dias.
Um diferencial do Humble é ser compilado com um invólucro executável (Bat2Exe) em um arquivo de lote. O que também chama atenção é que ele usa o Discord – um serviço de comunicação de voz, texto e vídeo popular entre os gamers – para enviar relatórios aos seus criadores.
Evoluções alarmantes
Os dois novos ransomware são incomuns, e demonstram que o setor continua a ser atraente para os criminosos cibernéticos. Afinal, eles veem como as principais gangues de crackers estão ganhando dinheiro, e querem fazer o mesmo. Assim, acabam criando suas próprias ferramentas, seja por processos inéditos ou evoluindo métodos já conhecidos.
Assim, as empresas podem – e devem – reforçar a sua segurança. Afinal, o contexto atual mostra que as ameaças à segurança digital estão longe de diminuir. O mais provável é que negócios antes “ignorados” pelos cibercriminosos agora sejam sua prioridade.
Dessa maneira, diversos procedimentos de segurança cibernética devem ser adotados. Entram em cena então a aplicação de patches e o uso de autenticação multifator, por exemplo. Em meio a táticas do ponto de vista técnico, é preciso também investir em treinamento da equipe. Afinal, o fator humano sempre será um diferencial na segurança digital.
This post is also available in: Português
