ESET responde 10 questões associadas ao ransomware que afetou empresas de todo o mundo

0
3

A ESET fez uma análise detalhada do novo ataque de ransomware – no qual os cibercriminosos sequestram informações em troca do pagamento de resgate, que afetou empresas de todo o mundo na última semana.

Confira abaixo as principais dúvidas sobre esse tipo de ataque respondidas pelos especialistas da ESET:

  1. Quais as características deste ransomware?

Ele se diferencia por três aspectos diferentes. O primeiro se refere à questão da encriptação – o ransomware não só encripta arquivos de uma extensão específica, mas sim o MBR (Master Boot Record), que é o registro mestre de inicialização do computador.

Outro ponto é sobre a propagação, já que pode utilizar diversas técnicas diferentes para infectar novas máquinas. Por fim, outra característica é a questão da exploração da vulnerabilidade de equipamentos que estejam desatualizados, deixando brechas para a infecção.

  1. Ele é tão poderoso quanto o WannaCryptor?

Na verdade, os dois possuem o mesmo impacto já que impedem o acesso à informação armazenada no sistema. De qualquer maneira, este novo ataque encripta a informação que está nos equipamentos, e assim que é reiniciado, o sistema operacional fica inutilizável e as vítimas são obrigadas a reinstalá-lo.

  1. O que exatamente faz esta ameaça?

Logo que o ransomware é executado, ele cria uma tarefa programada para reiniciar o computador em até uma hora. Enquanto isso verifica se existem pastas ou discos compartilhados para se propagar.

Em seguida começa a cifrar arquivos de determinadas extensões. Diferente da maioria dos ransomware, este código malicioso não acrescenta ou modifica a extensão para identificar os arquivos infectados.

Por fim, o malware tentará eliminar os registros de eventos para não deixar nenhum rastro e ocultar suas ações.

  1. Como avança de um país para outro? Chegou ao Brasil?

A propagação é justamente uma das características desta ameaça. Uma vez que a máquina foi infectada, ele tenta extrair os dados do usuário e utiliza comandos PsExec e WMIC para buscar pastas e discos compartilhados para se propagar pela rede que o equipamento está conectado. Assim, consegue se espalhar para outras regiões e países.

Ele chegou ao Brasil e a América Latina por meio de empresas multinacionais conectadas com filiais europeias e asiáticas.

  1. O que pode ser feito para evitar o ataque?

É imprescindível contar com uma solução de antivírus, e que esta esteja corretamente configurada. A rede deve estar configurada e segmentada corretamente. Monitore constantemente o tráfego para detectar algum comportamento anormal. As informações mais relevantes devem estar mapeadas e possuírem uma cópia para que seja fácil fazer a restauração em caso de um ataque.

Outro ponto importante é sobre senhas. É fundamental que haja uma gestão, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede.

  1. Se já fui infectado, o que faço?

É possível utilizar técnicas forenses para tentar utilizar outro sistema operacional na memória e desta forma recuperar os arquivos encriptados. Porém, não há muito a ser feito além de aplicar o backup, a única maneira de evitar a reinstalação do sistema operacional.

Em último caso, se não tiver backup, os cibercriminosos sempre solicitam resgate. A ESET não recomenda o pagamento, já que estimula a continuidade deste tipo de ataque.

  1. Como os cibercriminosos estão agindo? Esperam um resgate?

O processo para recuperar a informação é o mesmo dos demais ataques similares, uma vez infectado, o ransomware envia as instruções de pagamento em bitcoins (equivalente a US$ 300).

  1. Por que o sequestro de dados está tão comum?

Um dos motivos deste tipo de ataque ainda ser comum é a falta de conscientização e nível de segurança de muitos usuários e empresas. Muitos ainda desconhecem o impacto de um ciberataque como este até se tornar uma vítima, e se ver obrigado a pagar o resgate. Isso mantem os cibercriminosos motivados a continuar com este tipo de ataque e a desenvolver novas ameaças.

  1. O ataque é organizado por um grupo? É necessário conhecimento profundo de tecnologia?

É difícil imaginar que apenas uma pessoa esteja por trás desses atos, já que a ameaça incorpora várias técnicas de exploração, propagação e encriptação para tentar burlar sistemas de segurança. Entretanto, não é possível afirmar quantas pessoas estão envolvidas em ataques desta magnitude.

  1. É possível saber quem são os cibercriminosos?

Ainda não é possível identificar os cibercriminosos por trás dos ataques. Diferente de um botnet, por exemplo, não existe um centro de controle que se conecte com a ameaça e que permita este tipo de identificação. Provavelmente utilizaram TOR e um servidor anônimo no ataque, a fim evitarem a identificação. Por outro lado, o pagamento do resgate é feito por bitcoins, criptomoeda que também torna praticamente impossível o rastreamento do destino final.

Deixe seu comentário