Criptografe seu servidor, por favor!

Você criptografaria seu próprio servidor por uma parte do dinheiro do resgate?

Quando o ransomware entra em uma rede corporativa, geralmente o caminho de entrada é o e-mail, vulnerabilidades de software ou conexões remotas desprotegidas. Ter um infiltrado implantando malware deliberadamente parece implausível. No entanto, como mostram as evidências do mundo real, alguns cibercriminosos acham que esse método de entrega de ransomware é eficaz e alguns agora estão recrutando funcionários da empresa, oferecendo-lhes uma porcentagem do resgate.

Um esquema criativo de golpe

Por mais absurdo que possa parecer, alguns procuram cúmplices por meio do spam. Por exemplo, uma mensagem oferece diretamente “40%, U$ 1 milhão em bitcoin” para qualquer pessoa disposta a instalar e implantar o ransomware DemonWare no servidor Windows principal de sua organização.

Os pesquisadores disfarçados de cúmplices interessados receberam um link para um arquivo junto com as instruções para iniciar o malware. No entanto, a pessoa por trás da mensagem era aparentemente um cibercriminoso inexperiente; os pesquisadores não tiveram problemas para fazê-lo falar. O ator da ameaça em questão era um jovem nigeriano que vasculhou o LinkedIn em busca de executivos seniores para entrar em contato. Ele abandonou seu plano original – enviar malware por e-mail – assim que percebeu o quão fortes são os sistemas de cibersegurança corporativa.

O que deu errado com o esquema?

Para convencer seus alvos de que sua participação seria segura, o ator da ameaça afirmou que o ransomware apagaria todas as evidências do crime, incluindo qualquer possível filmagem de segurança, e recomendou a exclusão do arquivo executável para evitar deixar pistas. Pode-se esperar que o criminoso planeje enganar seus cúmplices – sem dúvida, uma vez que o servidor foi criptografado, ele não se importaria com o que acontecesse com a pessoa que o fez – mas também parece não ter entendido como as investigações forenses digitais funcionam.

A decisão de usar o DemonWare também revelou sua inexperiência. Embora os cibercriminosos ainda o usem, na verdade é um malware pouco sofisticado, cujo código-fonte está disponível no GitHub. O criador do código supostamente fez isso para demonstrar como é fácil escrever ransomware.

Como se manter seguro

Embora este exemplo seja apenas ilustrativo – apesar de específico – os infiltrados que participam de um ataque de ransomware são totalmente factíveis. Muito mais provável do que alguém lançar malware em uma rede, no entanto, é um cenário em que alguém vende acesso ao sistema de informações de uma organização.

O mercado de acesso a redes corporativas existe há muito tempo na dark web, e os criminosos geralmente compram o acesso de outros golpistas – os chamados Initial Access Brokers. São eles que podem estar especificamente interessados em comprar dados para acesso remoto à rede da organização ou aos servidores em nuvem. Anúncios dessas compras destinadas a funcionários insatisfeitos ou demitidos estão espalhados neste mercado paralelo.

Para garantir que ninguém comprometa a segurança de sua empresa ao permitir que criminosos entrem em suas redes, recomendamos que você:
● Adote uma estratégia de privilégio mínimo de acesso;
● Manter registros cuidadosos de tentativas de acesso à rede e servidores da organização e revogar direitos e alterar senhas quando os funcionários forem demitidos;
● Instale em cada servidor soluções de segurançaque podem combater os malwares atuais;
● Use as soluções de Managed Detection and Response, que ajudam a identificar atividades suspeitas em sua infraestrutura antes que os invasores tenham a chance de infligir danos graves.

Dicas