Uma nova categoria de ransomware, chamada de Memento, é capaz de bloquear arquivos com senha caso seja impedido de aplicar criptografia aos dados comprometidos. A praga surge como mais uma maneira de os golpistas burlarem sistemas de proteção contra ataques de sequestro digital, adotando um novo método de captura de informações e exigindo até US$ 1 milhão em criptomoedas como resgate.
O alerta sobre os novos ataques foi feito pelos especialistas da Sophos, que indicam uma operação que começou em maio deste ano. Os criminosos passaram mais de cinco meses infiltrados na rede de uma vítima, se movimentando lateralmente e reconhecendo a infraestrutura de um servidor de forma a obter credenciais de contas e configurar conexões remotas; o travamento dos dados em si ocorreu ao final de outubro.
O formato chega a ser simples, com a praga desenvolvida em Python executando o WinRAR, em sua versão gratuita, para criptografar arquivos com senha, enquanto os originais foram excluídos remotamente. O pedido de resgate não foi atendido pela companhia, cujo nome não foi divulgado, mas foi capaz de recuperar seus dados sem precisar entrar em contato com os criminosos.
O relatório divulgado pela Sophos traz mais detalhes sobre o ataque, que foi possível a partir de uma falha no sistema vSphere, da VMWare. A brecha foi aproveitada não somente pelos criminosos responsáveis pelo Memento, mas também por dois outros atacantes que implantaram mineradores de criptomoedas nos servidores vulneráveis; no segundo caso, foram duas instalações diferentes, primeiro em setembro e depois em outubro, quando o anterior foi detectado.
“Os criminosos vasculham constantemente a internet em busca de pontos de entrada e não esperam na fila quando os encontram. Já vimos casos como esse diversas vezes”, comenta Sean Gallagher, pesquisador sênior de ameaças da Sophos. Segundo ele, neste caso, as intrusões por diferentes atacantes aumentaram o tempo de recuperação, bem como a detecção dos autores.
O motivo por trás dos ataques foi a falta de atualização, já que em todos os casos, uma correção para a vulnerabilidade já estava disponível quando ela foi utilizada. “Quando as vulnerabilidades se tornam públicas e não são corrigidas, os criminosos as exploram rapidamente”, completa o pesquisador, indicando a necessidade de atualizações rápidas, principalmente no caso de falhas críticas, para que as corporações não se tornem alvo de múltiplos grupos de ataque simultaneamente.
Mudança de planos
A descoberta do Memento também trouxe consigo a ideia de que os atacantes foram capazes de mudar o caminho da exploração de forma dinâmica, durante a realização do ataque. De acordo com a Sophos, após utilizarem diferentes ferramentas de movimento lateral e reconhecimento, a aplicação de criptografia foi bloqueada por sistemas de segurança. Daí veio o uso do WinRAR, criando arquivos protegidos por uma senha.
“Os invasores aproveitam oportunidades quando as encontram e mudam de tática instantaneamente quando cometem erros. Caso consigam penetrar a rede de um alvo, não vão querer sair de mãos vazias”, completa Gallagher. Segundo ele, casos desse tipo reforçam a necessidade de uma proteção em profundidade, capaz de detectar o ransomware e suas tentativas de criptografia, mas também outras atividades inesperadas na rede.
Investir em sistemas de monitoramento e alertas a administradores, por exemplo, é um passo importante nessa estratégia, junto com a configuração adequada de plataformas de proteção. Tais elementos caminham lado a lado de boas práticas como o uso de senhas fortes, autenticação em múltiplo fator e a instalação de atualizações, assim como a realização de backups para garantir recuperação em caso de comprometimento.
Por fim, a Sophos indica o uso de sistemas de segmentação, que possam isolar porções comprometidas da rede e evitar movimentação lateral, assim como auditorias e inventários que permitam manter o controle dos acessos e dispositivos conectados. Iniciativas de confiança zero também ajudam a manter os sistemas sempre protegidos.