A ESET fez uma análise detalhada do novo ataque de ransomware – no qual os cibercriminosos sequestram informações em troca do pagamento de resgate, que afetou empresas de todo o mundo na última semana.
Confira abaixo as principais dúvidas sobre esse tipo de ataque respondidas pelos especialistas da ESET:
- Quais as características deste ransomware?
Ele se diferencia por três aspectos diferentes. O primeiro se refere à questão da encriptação – o ransomware não só encripta arquivos de uma extensão específica, mas sim o MBR (Master Boot Record), que é o registro mestre de inicialização do computador.
Outro ponto é sobre a propagação, já que pode utilizar diversas técnicas diferentes para infectar novas máquinas. Por fim, outra característica é a questão da exploração da vulnerabilidade de equipamentos que estejam desatualizados, deixando brechas para a infecção.
- Ele é tão poderoso quanto o WannaCryptor?
Na verdade, os dois possuem o mesmo impacto já que impedem o acesso à informação armazenada no sistema. De qualquer maneira, este novo ataque encripta a informação que está nos equipamentos, e assim que é reiniciado, o sistema operacional fica inutilizável e as vítimas são obrigadas a reinstalá-lo.
- O que exatamente faz esta ameaça?
Logo que o ransomware é executado, ele cria uma tarefa programada para reiniciar o computador em até uma hora. Enquanto isso verifica se existem pastas ou discos compartilhados para se propagar.
Em seguida começa a cifrar arquivos de determinadas extensões. Diferente da maioria dos ransomware, este código malicioso não acrescenta ou modifica a extensão para identificar os arquivos infectados.
Por fim, o malware tentará eliminar os registros de eventos para não deixar nenhum rastro e ocultar suas ações.
- Como avança de um país para outro? Chegou ao Brasil?
A propagação é justamente uma das características desta ameaça. Uma vez que a máquina foi infectada, ele tenta extrair os dados do usuário e utiliza comandos PsExec e WMIC para buscar pastas e discos compartilhados para se propagar pela rede que o equipamento está conectado. Assim, consegue se espalhar para outras regiões e países.
Ele chegou ao Brasil e a América Latina por meio de empresas multinacionais conectadas com filiais europeias e asiáticas.
- O que pode ser feito para evitar o ataque?
É imprescindível contar com uma solução de antivírus, e que esta esteja corretamente configurada. A rede deve estar configurada e segmentada corretamente. Monitore constantemente o tráfego para detectar algum comportamento anormal. As informações mais relevantes devem estar mapeadas e possuírem uma cópia para que seja fácil fazer a restauração em caso de um ataque.
Outro ponto importante é sobre senhas. É fundamental que haja uma gestão, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede.
- Se já fui infectado, o que faço?
É possível utilizar técnicas forenses para tentar utilizar outro sistema operacional na memória e desta forma recuperar os arquivos encriptados. Porém, não há muito a ser feito além de aplicar o backup, a única maneira de evitar a reinstalação do sistema operacional.
Em último caso, se não tiver backup, os cibercriminosos sempre solicitam resgate. A ESET não recomenda o pagamento, já que estimula a continuidade deste tipo de ataque.
- Como os cibercriminosos estão agindo? Esperam um resgate?
O processo para recuperar a informação é o mesmo dos demais ataques similares, uma vez infectado, o ransomware envia as instruções de pagamento em bitcoins (equivalente a US$ 300).
- Por que o sequestro de dados está tão comum?
Um dos motivos deste tipo de ataque ainda ser comum é a falta de conscientização e nível de segurança de muitos usuários e empresas. Muitos ainda desconhecem o impacto de um ciberataque como este até se tornar uma vítima, e se ver obrigado a pagar o resgate. Isso mantem os cibercriminosos motivados a continuar com este tipo de ataque e a desenvolver novas ameaças.
- O ataque é organizado por um grupo? É necessário conhecimento profundo de tecnologia?
É difícil imaginar que apenas uma pessoa esteja por trás desses atos, já que a ameaça incorpora várias técnicas de exploração, propagação e encriptação para tentar burlar sistemas de segurança. Entretanto, não é possível afirmar quantas pessoas estão envolvidas em ataques desta magnitude.
- É possível saber quem são os cibercriminosos?
Ainda não é possível identificar os cibercriminosos por trás dos ataques. Diferente de um botnet, por exemplo, não existe um centro de controle que se conecte com a ameaça e que permita este tipo de identificação. Provavelmente utilizaram TOR e um servidor anônimo no ataque, a fim evitarem a identificação. Por outro lado, o pagamento do resgate é feito por bitcoins, criptomoeda que também torna praticamente impossível o rastreamento do destino final.