Ransomware: Como até um malware ingênuo pode ter sucesso

17:50, sexta-feira, final de outono. O escritório já está com um ar mais descontraído: logo, as pessoas irão para a casa ou para locais mais divertidos, contudo ninguém espera por

17:50, sexta-feira, final de outono. O escritório já está com um ar mais descontraído: logo, as pessoas irão para a casa ou para locais mais divertidos, contudo ninguém espera por problemas. No entanto, problemas não são conhecidos por respeitar finais de semana. Em questão de instantes, assinantes ligam dizendo que não conseguem abrir arquivos que estão com nomes estranhos. E o que é esse pop-up falando sobre um resgate?

Nesse momento você não quer ser o administrador, cliente ou o dono da empresa, especialmente de uma pequena ou média, porque em uma situação como essa alguém fez algo que não devia e deixou um ransomware entrar.

 Não conseguimos passar nem um mês sem falar de ransomware. O que não é surpresa, já que novos continuam aparecendo aos montes. Empresas de todos os tipos são alvo -as MPEs correm ainda mais perigo, já que possuem recursos financeiros atrativos aos criminosos, mas tendem a economizar em segurança e pessoal de TI por diversas razões.

main-4

Os terríveis Cryptolocker e Teslacrypt podem até não estar mais sob os holofotes, mas eles continuam tão perigosos como antes. Existem também alguns novatos como o Locky e o Petya.

Deus da mentira
O “Locky” (Trojan-Ranom.Win32Locky) é um ransomware problemático que causa danos consideráveis no mundo todo. Ele não se diferencia muito de outras famílias no que diz respeito a configuração interna e princípios operacionais, mas diferencia-se pelo uso de um algoritmo de criptografia mais forte e por maior difusão: os produtos da Kaspersky Lab bloquearam seus ataques em mais de 100 países. Nenhum outro ransomware se infiltrou em tantos países ao mesmo tempo – nesse caso, ataques bem-sucedidos.

Seu sucesso é no mínimo algo estranho. Os principais vetores de ataque do Locky não são nada novos. Infecções bem-sucedidas na maioria dos casos são resultado de erros das vítimas e violações de regras básicas de cibersegurança.

…Se é assim, não devia, mas…
O Locky se espalha por spam. Talvez, seja essa a razão de seu sucesso: ele tem se multiplicado sem parar. Os ataques são divididos em duas fases: um e-mail malicioso com um instalador e o Trojan em si.

Nos primeiros estágios (por exemplo, em fevereiro desse ano), o instalador do Trojan foi carregado por um arquivo .doc com uma macro que o baixava. E a partir daqui que a situação fica ridícula. A Microsoft desativou a execução automática de macros no Office por razões de segurança. Contudo, usuários habilitam a execução automática de macros manualmente, o que inclui arquivos de fontes desconhecidas.

Agora, hackers mudaram de tática. No lugar de enviar e-mails em massa contendo os arquivos .doc, os criminosos optam por arquivos .zip e scripts .js.

Não tão ridiculo assim
Para usuários experientes, um arquivo .doc de fonte desconhecida que “demanda” uma macro para ser aberto, é sinal de alerta imediato. Um arquivo javascript com o nome de “me abra” também não cheira bem. Contudo, repito, é preciso que colaboradores compreendam os perigos, conheçam quais arquivos possuem a extensão .js e o porquê de macros serem perigosas.

Imagine agora uma empresa pequena na qual funcionários (contadores, por exemplo) possuem pouco interesse em computadores, menos ainda por cibersegurança. Podem até ter ouvido alguma coisa ou outra sobre como macros podem sem perigosas. Ou simplesmente nem sabem o que são. De qualquer forma, arquivos .js só são familiares para usuários avançados. Para o resto, só é preciso um e-mail bem pensado para cair nas garras dos criminosos.

Provavelmente, essa foi a ideia do autor do Locky: usuários experientes reconheceriam o e-mail à primeira vista, independente da extensão do arquivo. Contudo, ao ter usuários menos experientes como alvo, não faz muita diferença o formato.

Tudo menos santo
Outro verme temível causou um verdadeiro pandemônio na Alemanha no começo desse ano. Conhecido como Petya, ele codifica arquivos sem qualquer especificidade, o foco é no comprometimento da máquina em si, o que resultou em uma receita de 400 dólares em Bitcoins.

O Petya também se espalha por spams e tem como vítimas organizações de recursos humanos por toda a Alemanha. Os e-mails continham links para arquivos Dropbox que se clicados baixavam e instalavam o Petya.

De certa forma, o Petya (apelido para o nome russo Pyotr, contraparte do ocidental Peter) é mais avançado em termos técnicos que o Locky (e seus autores sem dúvida são mais criativos).

Novamente, o estrago só será feito, se a vítima colaborar. E muito. Já ouviu falar de um currículo em formato .exe que precisa de privilégios de administrador para ser executado?

O Petya só seria instalado se o usuário clicar no “sim” na tela de controle do usuário.

O que é de fato possível se o usuário for pouco experiente… ou cansado demais para prestar atenção nesse tipo de aviso.

Usuários de empresas RH tem de analisar centenas de CVs entediantes diariamente, pensando nesse cenário, é bem possível que alguém cometa um deslize às 17:50 de uma sexta-feira….

Ainda assim, o Petya não é tão terrível quanto descrito: seu algoritmo de criptografia mostrou-se vulnerável a desencriptação (o que não ocorreu com o Locky). Falamos disso recentemente.

Se não pode vencê-los, previna-se
Como em muitas outras ameaças, prevenir a entrada de ransomwares é a melhor forma de se proteger para negócios de todos os tipos. Os danos provocados por ransomwares são incrivelmente difíceis de se remediar, a não ser que você queira pagar o resgate.

 

Existem diversas medidas preventivas que podem ser tomadas contra ransomwares.

Antes de mais nada, informe seus funcionários sobre engenharia social, tipos de ameaças, perigos associados a sites infectados, entre outros. É necessário que saibam que .exe e .js não são extensões para documentos e mesmo arquivos .doc vindos fontes “desconhecidas”, não devem ser executados sem uma verificação prévia.

Segundo, é interessante limitar a execução de arquivos em certos pontos de acesso. A não ser que o funcionário saiba exatamente o que esteja fazendo, privilégios de administrador não devem ser uma regra.

E claro, é indispensável a presença de uma solução de segurança capaz de impedir ataques de ransomware antes da encriptação, o que inclui anti-spam, estações de trabalhos e servidores capazes de se defender proativamente contra ameaças conhecidas e desconhecidas. Dê uma olhada nas ofertas da Kaspersky Lab para pequenas e pequenas à médias empresas, bem como para organizações de grande porte.

Mais detalhes sobre o Locky aqui.

Uma análise detalhada sobre o Petya nesse link.

Dicas