‘Nova onda’ de vírus de resgate avança em redes empresariais

Traveler man using smartphone at a train station , Transportation and travel lifestyle concept

Embora os filmes e séries de TV normalmente mostrem hackers “pilotando” ataques em tempo real, a maioria das violações é consequência do trabalho automatizado de programas invasores. Os criminosos muitas vezes nem sabem se o vírus que eles criaram contaminou um notebook de um estudante ou um servidor que armazena o banco de dados de uma empresa.

Mas uma nova onda de vírus de resgate está deixando a realidade um pouco mais próxima da ficção. Os códigos são personalizados e configurados em tempo real pelos criminosos, inclusive provocando as vítimas com referências, como o nome de empresa ou o número de telefone.

O fenômeno não é novo, mas um relatório recente da Microsoft expôs detalhes dos procedimentos de três gangues envolvidas nesses ataques, que operam os vírus de resgate Wadhrama, Doppelpaymer e Ryuk.

Vírus de resgate são assim chamados porque exigem que a vítima desembolse uma certa quantia para restaurar arquivos e o funcionamento de sistemas “sequestrados”. Uma consequência da ação humana é uma arbitrariedade maior no valor cobrado.

Enquanto vírus de resgate antigos cobravam o mesmo valor de todas as vítimas, o preço do resgate nos vírus desta nova onda varia conforme os dados sequestrados e os recursos da vítima para quitar o resgate. O Wadhrama, por exemplo, pode cobrar de 0,5 a 2 Bitcoin (R$ 18 a R$ 74 mil) por máquina contaminada.

Acesso a dados confidenciais

Uma vítima recente do Doppelpaymer foi a Visser Precision, uma fabricante de peças e fornecedora da Tesla e da Boeing. Os criminosos criptografaram os arquivos como de costume, mas o resgate foi cobrado também sob a ameaça de que o não pagamento levaria ao vazamento desses arquivos.

Em um site dedicado ao golpe, os hackers publicaram contratos confidenciais para servir de “amostra” do que poderia vir a público.

Esse tipo de flexibilidade e adaptação ao alvo não é comum em vírus de resgate “automáticos”. De acordo com a Microsoft, o DoppelPaymer nem sequer possui capacidade de contaminar outros computadores da rede. Toda a disseminação é controlada manualmente pelos hackers, que também personalizam outros aspectos da contaminação.

O vírus de resgate normalmente não é ativado imediatamente. Antes, os hackers aprofundam o acesso na rede atacada, roubando senhas e elevando os privilégios e permissões em cada sistema alcançado.

O vírus de resgate pode demorar semanas ou meses para aparecer, segundo o relatório. Nesse período, os hackers se aproveitam das máquinas para outras finalidades, como o envio de mensagens indesejadas (spam) ou mineração de criptomoedas.

Além de aumentar o número de máquinas e agravar as consequências do ataque, essa estratégia fortalece a presença dos criminosos na rede. Se eles não forem expulsos por completo, o vírus pode ser novamente acionado.

De acordo com o FBI, criminosos já conseguiram cobrar pelo menos US$ 144 milhões (cerca de R$ 676 milhões) das vítimas de vírus de resgate desde 2013. O número foi estimado com base em uma análise das carteiras de Bitcoin associadas com o crime. Pagamentos em outras moedas não foram contabilizados.

Senhas fracas e sem antivírus

Para a atividade ser mais lucrativas, os criminosos miram as redes de empresas e instituições governamentais.

Para chegar nelas, as gangues utilizam ataques à Área de Trabalho Remota (RDP, na sigla em inglês), uma tecnologia comum em redes corporativas. Muitas vezes, os invasores tentam diversas combinações de usuário/senha até conseguir o acesso.

Em outros casos, o acesso inicial pode ser realizado por vírus que roubam senhas bancárias e normalmente chegam por e-mail, como o Trickbot ou Dridex. Segundo a empresa de segurança Check Point, o Trickbot foi distribuído por e-mails falsos que prometem conteúdo ligado ao coronavírus.

A Microsoft afirmou que alguns dos ataques mais bem-sucedidos foram realizados contra servidores sem antivírus ou controles de segurança. De acordo com a Microsoft, essa situação normalmente acontece por receio de que as proteções possam interferir no funcionamento do servidor ou diminuir o desempenho da máquina.

Por essa razão, esses criminosos não estão no mesmo nível dos operadores de ataques sofisticados (chamados de “APT”). Para a Microsoft, esses problemas podem ser evitados, mas é preciso uma “mudança de mentalidade” nas empresas: em vez de tentar resolver o problema o mais rápido possível, as causas de uma invasão devem ser analisadas e compreendidas.

Sem essa análise, é possível que a empresa não consiga expulsar os invasores e tenha problemas mais de uma vez.

A Microsoft recomendou o uso do Windows Defender ATP, a configuração de boas senhas e o monitoramento de tentativas de ataques de força bruta. A empresa sugere o uso de senhas administração temporárias ou credenciais restritas para reduzir a eficácia do roubo de senhas locais.

Fonte: G1 Tecnologia

WJ Sales
WJ Sales
Especialista em desenvolvimento de sites, lojas virtuais e sistemas. Faço parte da equipe que compõe a empresa Sales Publicidade. Atuamos em diversas áreas destinada ao Marketing. Faço publicações de artigos em blogs e nas redes sociais.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Enter Captcha Here : *

Reload Image