CiberSegurança

vírus de resgate avança em redes empresariais com ataques controlados por humanos

'Nova onda' alerta Microsoft

Vírus não funcionam de forma automatizada como as pragas digitais antigas. Invasores adaptam ataques e exploram erros de configuração.

Embora os filmes e séries de TV normalmente mostrem hackers “pilotando” ataques em tempo real, a maioria das violações é consequência do trabalho automatizado de programas invasores.

Os criminosos muitas vezes nem sabem se o vírus que eles criaram contaminou um notebook de um estudante ou um servidor que armazena o banco de dados de uma empresa.

Mas uma nova onda de vírus de resgate está deixando a realidade um pouco mais próxima da ficção. Os códigos são personalizados e configurados em tempo real pelos criminosos, inclusive provocando as vítimas com referências, como o nome de empresa ou o número de telefone.

O fenômeno não é novo, mas um relatório recente da Microsoft expôs detalhes dos procedimentos de três gangues envolvidas nesses ataques, que operam os vírus de resgate Wadhrama, Doppelpaymer e Ryuk.

Vírus de resgate são assim chamados porque exigem que a vítima desembolse uma certa quantia para restaurar arquivos e o funcionamento de sistemas “sequestrados”. Uma consequência da ação humana é uma arbitrariedade maior no valor cobrado.

Enquanto vírus de resgate antigos cobravam o mesmo valor de todas as vítimas, o preço do resgate nos vírus desta nova onda varia conforme os dados sequestrados e os recursos da vítima para quitar o resgate. O Wadhrama, por exemplo, pode cobrar de 0,5 a 2 Bitcoin (Kz $ 800 mil a $ 1 Milhão) por máquina contaminada.

Tela de aviso do sequestro de arquivos do vírus de resgate Wadhrama, um dos programas utilizados pelos criminosos. — Foto: Reprodução/Microsoft
Tela de aviso do sequestro de arquivos do vírus de resgate Wadhrama, um dos programas utilizados pelos criminosos. — Foto: Reprodução/Microsoft

Acesso a dados confidenciais

Uma vítima recente do Doppelpaymer foi a Visser Precision, uma fabricante de peças e fornecedora da Tesla e da Boeing. Os criminosos criptografaram os arquivos como de costume, mas o resgate foi cobrado também sob a ameaça de que o não pagamento levaria ao vazamento desses arquivos.

Em um site dedicado ao golpe, os hackers publicaram contratos confidenciais para servir de “amostra” do que poderia vir a público.

Esse tipo de flexibilidade e adaptação ao alvo não é comum em vírus de resgate “automáticos”. De acordo com a Microsoft, o DoppelPaymer nem sequer possui capacidade de contaminar outros computadores da rede. Toda a disseminação é controlada manualmente pelos hackers, que também personalizam outros aspectos da contaminação.

O vírus de resgate normalmente não é ativado imediatamente. Antes, os hackers aprofundam o acesso na rede atacada, roubando senhas e elevando os privilégios e permissões em cada sistema alcançado.

O vírus de resgate pode demorar semanas ou meses para aparecer, segundo o relatório. Nesse período, os hackers se aproveitam das máquinas para outras finalidades, como o envio de mensagens indesejadas (spam) ou mineração de criptomoedas.

Além de aumentar o número de máquinas e agravar as consequências do ataque, essa estratégia fortalece a presença dos criminosos na rede. Se eles não forem expulsos por completo, o vírus pode ser novamente acionado.

De acordo com o FBI, criminosos já conseguiram cobrar pelo menos US$ 144 milhões (cerca de R$ 676 milhões) das vítimas de vírus de resgate desde 2013. O número foi estimado com base em uma análise das carteiras de Bitcoin associadas com o crime. Pagamentos em outras moedas não foram contabilizados.

Senhas fracas e sem antivírus

Para a atividade ser mais lucrativas, os criminosos miram as redes de empresas e instituições governamentais.

Para chegar nelas, as gangues utilizam ataques à Área de Trabalho Remota (RDP, na sigla em inglês), uma tecnologia comum em redes corporativas. Muitas vezes, os invasores tentam diversas combinações de usuário/senha até conseguir o acesso.

Em outros casos, o acesso inicial pode ser realizado por vírus que roubam senhas bancárias e normalmente chegam por e-mail, como o Trickbot ou Dridex. Segundo a empresa de segurança Check Point, o Trickbot foi distribuído por e-mails falsos que prometem conteúdo ligado ao coronavírus.

A Microsoft afirmou que alguns dos ataques mais bem-sucedidos foram realizados contra servidores sem antivírus ou controles de segurança. De acordo com a Microsoft, essa situação normalmente acontece por receio de que as proteções possam interferir no funcionamento do servidor ou diminuir o desempenho da máquina.

Por essa razão, esses criminosos não estão no mesmo nível dos operadores de ataques sofisticados (chamados de “APT”). Para a Microsoft, esses problemas podem ser evitados, mas é preciso uma “mudança de mentalidade” nas empresas: em vez de tentar resolver o problema o mais rápido possível, as causas de uma invasão devem ser analisadas e compreendidas.

Sem essa análise, é possível que a empresa não consiga expulsar os invasores e tenha problemas mais de uma vez.

A Microsoft recomendou o uso do Windows Defender ATP, a configuração de boas senhas e o monitoramento de tentativas de ataques de força bruta. A empresa sugere o uso de senhas administração temporárias ou credenciais restritas para reduzir a eficácia do roubo de senhas locais.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado.

Botão Voltar ao Topo