Menos Fios

Descoberto novo ransomware, que bloqueia ficheiros em arquivos quando não é capaz de os encriptar

Uma investigação da SophosLabs revelou que há um novo tipo de ransomware, com uma abordagem fora do comum do que é habitual. Segundo os especialistas, ao contrário da maioria dos softwares maliciosos do seu género, o ransomware Memento não encripta diretamente os ficheiros das vítimas, mas sim opta por copiá-los para arquivos protegidos por uma palavra-passe. A password é depois encriptada e os ficheiros originais são apagados.

De acordo com a empresa desenvolvedora e fornecedora de software e de hardware de segurança, esse novo ransomware foi detectado em Outubro último, onde os piratas informáticos tentaram encriptar diretamente os ficheiros das vítimas numa fase inicial. Ao notarem que o plano inicial elaborado não funcionou, os maliciosos mudaram a sua estratégia de operação.

No novo modo de ataque, os hackers acederam à rede de uma organização em meados de abril deste ano, e tirando partido de uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação na Cloud, conseguiram se infiltrar no servidor.

Nos meses seguintes, os cibercriminosos aproveitaram realizar uma série de atividades de reconhecimento para estabelecerem uma ligação interativa com o servidor afectado, e onde usando a ferramenta Mimikatz conseguiram recolher várias credenciais de contas.

Durante o mês de Outubro, o grupo de hackers utilizou a ferramenta WinRAR para comprimir um conjunto de ficheiros, depois exfiltraram através do Remote Desktop Protocol, e onde três dias depois, lançaram o ataque pela primeira vez.

No ataque feito, as medidas de segurança do sistema acabaram por bloquear as tentativas dos criminosos de encriptar os ficheiros. Depois de mudarem a sua estratégia, exigiram um resgate de 1 milhão de dólares em Bitcoin. No entanto, a vítima foi capaz de recuperar os seus dados sem ser necessário envolver os atacantes.

MAIS: África está a levar o cibercrime a sério?

A Sophos informa ainda que, à medida que os atacantes responsáveis pelo Memento se embrenhavam na rede da vítima, outros dois cibercriminosos aproveitaram a “porta aberta”, deixando cryptominers no mesmo serviço comprometido.

Já assistimos a este fenómeno diversas vezes: quando as vulnerabilidades voltadas para a internet se tornam públicas e não são corrigidas, vários atacantes vão tirar partido delas com rapidez. Quanto mais tempo as vulnerabilidades ficarem por resolver, mais atacantes atrairão,” explica Sean Gallagher, Senior Threat Researcher da Sophos.

Os cibercriminosos estão constantemente a analisar a Internet para encontrar pontos de entrada vulneráveis e não ficam à espera na fila quando encontram um. Ser atingido por diversos atacantes agrava a disrupção e o tempo de recuperação, e também dificulta que os investigadores forenses possam atuar e perceber quem fez o quê: uma informação importante para que os especialistas em resposta a ameaças consigam ajudar as organizações a prevenir a repetição dos ataques.

Para se proteger do Memento, a Sophos recomenda às organizações que implementem proteção por camadas para bloquear e detetar atacantes no maior número possível de pontos de acesso de uma rede. A combinação entre especialistas humanos e tecnologia anti-ransomware é também essencial.

No quesito tático, os mesmos especialistas recomendam que é importante monitorizar e dar resposta a alertas, garantindo que as ferramentas, processos e recursos humanos estão prontas a cumprir a sua função. À implementação de palavras-passe fortes, únicas e complexas, que nunca deverão ser reutilizadas, junta-se também a utilização de Autenticação Multifator (MFA).

Exit mobile version