Ransomware é um tipo de software malicioso projetado para bloquear arquivos em um computador ou sistema até que o resgate seja pago. Um dos primeiros ransomwares documentados foi o PC Cyborg 1989 - ele exigia um pagamento de resgate de US $ 189 para descriptografar arquivos bloqueados.
A tecnologia de computador percorreu um longo caminho desde 1989, e o ransomware evoluiu junto com ela, levando a variantes complexas e potentes como o WastedLocker. Então, como funciona o WastedLocker? Quem foi afetado por isso? E como você pode proteger seus dispositivos?
O que é WastedLocker e como funciona?
Descoberto pela primeira vez no início de 2020, WastedLocker é operado pelo notório grupo de hackers Evil Corp, que também é conhecido como INDRIK SPIDER ou gangue Dridex, e provavelmente tem ligações com agências de inteligência russas.
O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos Estados Unidos emitiu sanções contra a Evil Corp em 2019 e o Departamento de Justiça indiciou seu suposto líder Maksim Yakubets, o que forçou o grupo a mudar de tática.
Ataques WastedLocker geralmente começam com SocGholish, um cavalo de Troia de acesso remoto (RAT) que se faz passar por atualizações do navegador e do Flash para enganar o alvo e fazer o download de arquivos maliciosos.
RELACIONADO: O que é um Trojan de acesso remoto?
Uma vez que o alvo baixa a atualização falsa, WastedLocker criptografa efetivamente todos os arquivos em seu computador e acrescenta "wasted", que parece ser uma referência aos memes da internet inspirados no videogame Grand Theft Auto Series.
Portanto, por exemplo, um arquivo originalmente denominado "muo.docx" apareceria como "muo.docx.wasted" em uma máquina comprometida.
Para bloquear arquivos, WastedLocker usa uma combinação de Advanced Encryption Standard (AES) e Algoritmos de criptografia Rivest-Shamir-Adleman (RSA), que tornam a descriptografia virtualmente impossível sem o Mal Chave privada do Corp.
O algoritmo de criptografia AES é usado por instituições financeiras e governos - a National Security Agency (NSA), por exemplo, o usa para proteger informações ultrassecretas.
Nomeado em homenagem a três cientistas do Massachusetts Institute of Technology (MIT) que o descreveram publicamente no 1970, o algoritmo de criptografia RSA é consideravelmente mais lento do que AES e usado principalmente para criptografar pequenas quantidades de dados.
O WastedLocker deixa uma nota de resgate para cada arquivo que criptografa e direciona a vítima a entrar em contato com os atacantes. A mensagem normalmente contém um endereço de e-mail Protonmail, Eclipso ou Tutanota.
As notas de resgate são geralmente personalizadas, mencionam a organização-alvo pelo nome e alertam contra o contato com as autoridades ou o compartilhamento dos e-mails de contato com terceiros.
Projetado para atingir grandes empresas, o malware geralmente exige pagamentos de resgate de até US $ 10 milhões.
Ataques de alto perfil do WastedLocker
Em junho de 2020, Symantec descobriu 31 ataques WastedLocker a empresas sediadas nos Estados Unidos. A grande maioria das organizações visadas eram grandes nomes familiares e 11 eram empresas Fortune 500.
O ransomware tinha como alvo empresas de vários setores, incluindo manufatura, tecnologia da informação e mídia e telecomunicações.
A Evil Corp violou as redes das empresas visadas, mas a Symantec conseguiu impedir que os hackers implantassem o WastedLocker e guardassem os dados para resgate.
O número total real de ataques pode ser muito maior porque o ransomware foi implantado em dezenas de sites de notícias populares e legítimos.
Desnecessário dizer que empresas que valem bilhões de dólares têm proteção de primeira linha, o que diz muito sobre o quão perigoso é o WastedLocker.
Naquele mesmo verão, a Evil Corp implantou o WastedLocker contra a empresa americana de GPS e rastreadores de fitness Garmin, que estima uma receita anual de mais de US $ 4 bilhões.
Como a empresa israelense de segurança cibernética Votiro notado na época, o ataque paralisou Garmin. Isso interrompeu muitos dos serviços da empresa e até afetou os call centers e algumas linhas de produção na Ásia.
A Garmin supostamente pagou um resgate de US $ 10 milhões para recuperar o acesso a seus sistemas. A empresa levou dias para colocar seus serviços em funcionamento, o que provavelmente causou enormes perdas financeiras.
Embora a Garmin aparentemente tenha pensado que pagar o resgate era a melhor e mais eficiente maneira de resolver a situação, é importante observar que nunca se deve confiar nos cibercriminosos - às vezes, eles não têm incentivo para fornecer uma chave de descriptografia após receber o resgate Forma de pagamento.
Geralmente, a melhor ação no caso de um ataque cibernético é entrar em contato imediatamente com as autoridades.
Além disso, governos em todo o mundo impõem sanções contra grupos de hackers e, às vezes, essas sanções também se aplicam a indivíduos que enviam ou facilitam o pagamento de um resgate, portanto, também existem riscos legais para considerar.
O que é Hades Variant Ransomware?
Em dezembro de 2020, pesquisadores de segurança descobriram uma nova variante de ransomware apelidada de Hades (não deve ser confundido com o 2016 Hades Locker, que geralmente é implantado por e-mail na forma de um MS Word acessório).
Uma análise de CrowdStrike descobriram que o Hades é essencialmente uma variante compilada de 64 bits do WastedLocker, mas identificou várias diferenças importantes entre essas duas ameaças de malware.
Por exemplo, ao contrário do WastedLocker, Hades não deixa uma nota de resgate para cada arquivo que criptografa - ele cria uma única nota de resgate. E armazena as principais informações em arquivos criptografados, em vez de armazená-las na nota de resgate.
A variante Hades não deixa informações de contato; em vez disso, ele direciona as vítimas para um site Tor, que é personalizado para cada alvo. O site Tor permite que a vítima descriptografe um arquivo gratuitamente, o que evidentemente é uma maneira da Evil Corp demonstrar que suas ferramentas de descriptografia realmente funcionam.
Hades tem como alvo principal organizações grandes com base nos Estados Unidos com receitas anuais superiores a US $ 1 bilhões, e sua implantação marcou mais uma tentativa criativa da Evil Corp de reformular a marca e fugir sanções.
Como se Proteger Contra WastedLocker
Com os ataques cibernéticos em alta, investir em ferramentas de proteção de ransomware é uma necessidade absoluta. Também é fundamental manter o software atualizado em todos os dispositivos para evitar que os cibercriminosos explorem vulnerabilidades conhecidas.
Variantes sofisticadas de ransomware, como WastedLocker e Hades, têm a capacidade de se mover lateralmente, o que significa que podem obter acesso a todos os dados em uma rede, incluindo armazenamento em nuvem. É por isso que manter um backup offline é a melhor maneira de proteger dados importantes contra invasores.
Uma vez que os funcionários são a causa mais comum de violações, as organizações devem investir tempo e recursos na educação da equipe sobre as práticas básicas de segurança.
Em última análise, implementar um modelo de segurança Zero Trust é indiscutivelmente a melhor maneira de garantir uma organização está protegido contra ataques cibernéticos, incluindo aqueles travados pela Evil Corp e outro hacker patrocinado pelo estado grupos.
Procurando manter sua empresa protegida contra cibercriminosos? VPNs são ótimos, mas podem não ser tão eficazes quanto ZTNs com perímetros definidos por software.
Leia a seguir
- Segurança
- Ransomware
- Segurança Online
- Malware
- Segurança de dados
Damir é um escritor e repórter freelance cujo trabalho se concentra na segurança cibernética. Além de escrever, ele gosta de ler, música e cinema.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Clique aqui para se inscrever