{"id":15637,"date":"2020-06-22T17:03:47","date_gmt":"2020-06-22T20:03:47","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15637"},"modified":"2020-06-22T17:03:47","modified_gmt":"2020-06-22T20:03:47","slug":"ransomware-snake-paralisou-industrias-no-mundo-todo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-snake-paralisou-industrias-no-mundo-todo\/15637\/","title":{"rendered":"Ransomware Snake paralisou ind\u00fastrias no mundo todo"},"content":{"rendered":"<p>Novo <a href=\"https:\/\/ics-cert.kaspersky.com\/alerts\/2020\/06\/17\/targeted-attacks-on-industrial-companies-using-snake-ransomware\/\" target=\"_blank\" rel=\"noopener\">relat\u00f3rio publicado pelo Kaspersky ICS CERT <\/a>faz an\u00e1lise in\u00e9dita do comportamento do ransomware Snake (ou Ekans), respons\u00e1vel pela paralisa\u00e7\u00e3o de atividades industriais nos \u00faltimos meses, ap\u00f3s ataques a empresas em diferentes partes do mundo.<\/p>\n<p>De acordo com a publica\u00e7\u00e3o, o Snake \u2013 capaz de criptografar e impedir que a empresa acesse os documentos de trabalho \u2013 atua de maneira direcionada, disfar\u00e7ando-se com os mesmos dom\u00ednios e endere\u00e7os IP das redes invadidas para obter livre acesso e executar a codifica\u00e7\u00e3o dos arquivos. Essa informa\u00e7\u00e3o indicaria ainda que a a\u00e7\u00e3o do Snake representa apenas a \u00faltima de uma s\u00e9rie de etapas pr\u00e9-coordenadas. Antes de estruturar o ransomware, por exemplo, os cibercriminosos precisam descobrir os registros de endere\u00e7o dos seus alvos \u2013 em alguns casos, obt\u00eam esses dados por meio de servidores de DNS p\u00fablicos.<\/p>\n<p>Todas as amostras analisadas foram bloqueadas pelas <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security\/cloud?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kescloud___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es de seguran\u00e7a da Kaspersky<\/a>, com base no modelo do ransomware Snake original, identificado em dezembro de 2019.<\/p>\n<p>Confira abaixo as principais descobertas sobre o Snake, e recomenda\u00e7\u00f5es para que as empresas possam se prevenir de poss\u00edveis ataques.<\/p>\n<ul>\n<li>O malware foi iniciado usando um arquivo \u201cnmon.bat\u201d. O arquivo \u00e9 detectado pelos produtos Kaspersky nas pastas de script da pol\u00edtica de dom\u00ednio;<\/li>\n<li>A \u00fanica diferen\u00e7a entre as amostras Snake identificadas \u00e9 o nome de dom\u00ednio e o endere\u00e7o IP incorporado ao c\u00f3digo;<\/li>\n<li>O endere\u00e7o IP no c\u00f3digo do malware \u00e9 comparado com o da m\u00e1quina infectada, caso o malware consiga identific\u00e1-lo;<\/li>\n<li>O malware apenas criptografa os dados da m\u00e1quina infectada quando os endere\u00e7os IP do dispositivo e o no c\u00f3digo do malware s\u00e3o os mesmos;<\/li>\n<li>A combina\u00e7\u00e3o de endere\u00e7o IP e nome de dom\u00ednio incorporada no c\u00f3digo de malware \u00e9 exclusiva para cada ataque identificado. Aparentemente, \u00e9 v\u00e1lida para a rede interna da organiza\u00e7\u00e3o alvo dos ataques;<\/li>\n<li>Em alguns casos, os nomes de dom\u00ednio podem ter sido obtidos de servidores p\u00fablicos (DNS), enquanto as informa\u00e7\u00f5es sobre os endere\u00e7os IP associados a esses nomes de dom\u00ednio s\u00e3o, aparentemente, armazenadas em servidores DNS internos. Com isso, apenas se tornam dispon\u00edveis quando enviam solicita\u00e7\u00f5es de DNS a partir das pr\u00f3prias redes internas invadidas;<\/li>\n<li>Al\u00e9m do nome de dom\u00ednio e endere\u00e7o IP da organiza\u00e7\u00e3o, incorporados ao c\u00f3digo do malware, as novas amostras do Snake s\u00e3o diferentes daquelas identificadas em dezembro de 2019. Isso porque elas possuem uma lista expandida das extens\u00f5es de arquivos (typos) que o malware deve criptografar. Os exemplos incluem extens\u00f5es para arquivos de unidades virtuais, Microsoft Access, c\u00f3digo-fonte em \u0421 \/ C# \/ ASP \/ JSP \/ PHP \/ JS, al\u00e9m dos arquivos correspondentes de projetos, solu\u00e7\u00f5es e outras extens\u00f5es que n\u00e3o eram suportadas por vers\u00f5es anteriores.<\/li>\n<\/ul>\n<p>Para identificar ind\u00edcios de um ataque do ransomware Snake e evitar poss\u00edveis danos, o Kaspersky ICS CERT recomenda:<\/p>\n<ul>\n<li>Usar os IoCs (indicadores de compromisso) fornecidos no relat\u00f3rio para identificar infec\u00e7\u00f5es em esta\u00e7\u00f5es de trabalho e servidores Windows (confira-os\u00a0<a href=\"https:\/\/ics-cert.kaspersky.com\/alerts\/2020\/06\/17\/targeted-attacks-on-industrial-companies-using-snake-ransomware\/\" target=\"_blank\" rel=\"noopener\">aqui<\/a>);<\/li>\n<li>Verificar pol\u00edticas e scripts de dom\u00ednio ativo para c\u00f3digos maliciosos;<\/li>\n<li>Verificar tarefas ativas no Agendador de Tarefas do Windows, tanto em esta\u00e7\u00f5es de trabalho quanto em servidores, para a busca de c\u00f3digos maliciosos;<\/li>\n<li>Alterar as senhas de todas as contas no grupo de administradores de dom\u00ednio.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kart\">\n<p><em>com informa\u00e7\u00f5es da Jeffrey Group<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Novo relat\u00f3rio do Kaspersky ICS CERT revela o comportamento do Snake, malware respons\u00e1vel por ataques a diversas empresas nos \u00faltimos meses<\/p>\n","protected":false},"author":61,"featured_media":15638,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,14],"tags":[799,1185,990,83,2373],"class_list":{"0":"post-15637","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"tag-b2b","12":"tag-business","13":"tag-ics","14":"tag-ransomware","15":"tag-snake"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-snake-paralisou-industrias-no-mundo-todo\/15637\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15637"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15637\/revisions"}],"predecessor-version":[{"id":15640,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15637\/revisions\/15640"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15638"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}