Um falso aviso sobre violação de direitos autorais está sendo usado como isca para instalação do ransomware LockBit. A praga aparece no anexo de um e-mail fraudulento, em um arquivo PDF que, supostamente, traz informações sobre o arquivo compartilhado ilegalmente pelo usuário e serve como instalador para o vírus.
O alerta feito pela empresa de segurança AhnLab fala sobre uma campanha maliciosa que tem donos de sites na Coreia do Sul como alvo. O país possui leis que responsabilizam usuários pelo download e compartilhamento ilegal de conteúdo e é justamente esse o temor usado como isca para a contaminação, com o documento trazendo supostas indicações do que o cidadão deve fazer para evitar uma ação legal.
E-mail fraudulento aponta suposta violação de direitos autorais por donos de sites na Coreia do Sul, com documento que serve para a instalação de vírus (Imagem: Reprodução/AhnLab)
No PDF protegido por senha, como forma de evadir a detecção por softwares de segurança, está o instalador que baixa e executa o ransomware LockBit. A mesma praga já foi usada no Brasil em um ataque à prestadora de atendimento Atento e trava arquivos e pastas do computador, exibindo um pedido de resgate para liberação e não vazamento das informações, que também são extraídas e ficam sob o controle dos criminosos.
Durante o processo, a praga cria uma entrada no registro do Windows para continuar rodando mesmo após o desligamento ou reinicialização do computador. Além disso, antes de iniciar o sequestro dos dados, fecha processos e atividades relacionadas a softwares de segurança, enquanto busca por diferentes discos que possam ser criptografados, o que também inclui pendrives e outros armazenamentos removíveis. Após o processo, a nota de resgate é exibida enquanto as cópias do malware são apagadas para evitar recuperação.
Nota de resgate do ransomware LockBit, que já foi usado em grandes ataques no Brasil, com disseminação em massa tendo corporações como alvo preferencial (Imagem: Reprodução/AhnLab)
De acordo com a AhnLab, não é a primeira vez que supostas violações de copyright são usadas como iscas para a instalação de ransomware. O foco em sites, também, denota uma continuidade no foco em corporações, ainda que a disseminação em massa exiba um comportamento pouco direcionado.
Ignorar o contato é a melhor indicação para evitar contaminação. Avisos desse tipo dificilmente vêm por e-mail, enquanto arquivos anexos com senha definitivamente não são o caminho para servir notificações dessa categoria. O ideal é jamais baixar e executar, bem como clicar em links que venham em mensagens desse tipo.
Em caso de contaminação com ransomware, a recomendação é que as vítimas busquem ajuda especializada e não realizem pagamentos, já que isso ajuda a financiar o cibercrime. Não há garantia, além da palavra do criminoso, de que os dados serão recuperados após a transferência, enquanto essa devolução pode não funcionar ou ser apenas parcial. Investir em backups e ferramentas de segurança ajuda na mitigação e defesa contra golpes de sequestro digital.
Fonte: AhnLab