.jpg "Quero me preparar")
.jpg "Quero me preparar")
O malware que sequestra arquivos corporativos está ainda mais perigoso e se tornou o pesadelo das equipes de TI. Saiba como defender seus clientes desse perigo.
Todos os anos, empresas no mundo todo têm prejuízos de milhares de reais por causa de ataques de ransomwares e outros malwares, mesmo utilizando soluções de segurança eficientes. Por conta disso, esses perigos são disseminados de forma intensa e se modernizam constantemente, o que dificulta cada vez mais que a origem e os responsáveis sejam identificados.
Novas versões de ransomware estão surgindo, ainda mais evoluídas, e passaram a mirar também os dispositivos móveis, disfarçando-se de mensagens difíceis de serem reconhecidas.
Um dos ransomware descobertos recentemente chama-se JAFF, que é enviado por meio de botnet Necurs, um dos principais distribuidores de malwares. Os equipamentos infectados enviam e-mails de spam com ficheiros anexos. Após serem abertos por usuários, ficheiros são encriptados usando a encriptação assimétrica. Assim, a vítima recebe mensagens para visitar o website Tor para restaurar seus arquivos após pagamento de um resgate.
Outro novo malware dessa categoria detectado é o Cerber, seu primeiro ataque ocorreu em 2016 e desde então deu origem a várias versões que são atualizadas frequentemente.
O Cerber se tornou popular no cibercrime em comparação aos outros malwares que utilizam a criptografia de arquivos, pois seus desenvolvedores tornaram-o um commodity, ou seja, um modelo de negócio em que hacker parceiros podem comprá-lo como um serviço.
Assim, esse perigo ganhou cópias pelo mundo todo, gerando altos lucros para seus criadores. O Cerber tem sua cadeia de ataque diversificada constantemente, assim, ampliam suas capacidades de infecção. Seu impacto negativo pode ser percebido em diversos setores, como organizações na área da educação, fábricas, tecnologia, energia, saúde e transportes.
Todas as versões desse malware utilizam e-mails de spam. Em sua última versão detectada, as mensagens contêm anexos zipados com arquivos Java maliciosos que agem com uma abordagem tripla - realizam o download direto, executam o payload e agendam uma tarefa para executá-lo. Ele consegue atrasar a cadeia de ataque para evitar tradicionais sandboxes.
Ele ainda é configurado com regras de firewall, o que permite bloquear o tráfego externo de todos os arquivos binários executáveis dos firewalls e antivírus instalados no sistema. Além disso, essa versão consegue contornar a detecção estática por learning machine com base na autopercepção das ferramentas de análise e ambientes virtuais. Assim, é possível impedir sua detecção e driblar as ferramentas de segurança de rede.
Esse ransomware se diferencia dos outros por possuir um recurso separado que lê e criptografa os arquivos das vítimas. Seus criadores implementaram uma criptografia própria para aprimorar suas operações.
Muitas empresas estão perdendo dinheiro em resgates e em períodos de inatividade durante a recuperação de seus arquivos. Se elas não puderem contar com medidas adequadas para garantir a segurança de suas informações poderão ficar vulneráveis aos criminosos virtuais.
Por isso, é vital estar preparado para os possíveis ataques. Além das medidas básicas como orientar funcionários a não abrirem anexos suspeitos, manter os sistemas atualizados e contar com políticas de segurança reforçadas, outras regras são essenciais para combater esses novos tipos de ataque. Confira:
- Mostrar extensões ocultas de arquivos: malwares ao criptografar arquivos utilizam dupla extensão, como PDF.EXE, assim, se a função de mostrar extensões estiver oculta, torna-se mais difícil detectar as ameaças.
- Filtrar arquivos .EXE do correio eletrônico: é importante configurar ferramentas que permitem filtrar anexos por extensão para rejeitar e-mails que contenham essa extensão.
- Desativar RDP: alguns malwares acessam os dispositivos das vítimas por meio do Protocolo de escritório remoto (RDP), quando não for necessário utilizá-lo, o ideal é que seja desabilitado.
Algumas empresas não contam com um departamento de TI dedicado em tempo integral e dependem de ajuda externa para realizar possíveis reparos. Nestes casos, é importante estar sempre atento para não esperar que algo pare de funcionar.
Caso seja percebido que um arquivo de ransomware está sendo executado, mas a exibição de resgate não tenha aparecido ainda, o usuário pode parar a comunicação com o servidor de comando e controle antes que o processo de criptografia termine e desligar seu dispositivo imediatamente da energia. Além disso, é importante recorrer ao suporte de TI do provedor de serviços para analisar antecipadamente as configurações de segurança e de software.
Escreva seu comentário