Um falso aviso sobre violação de direitos autorais está sendo usado como isca para instalação do ransomware LockBit. A praga aparece no anexo de um e-mail fraudulento, em um arquivo PDF que, supostamente, traz informações sobre o arquivo compartilhado ilegalmente pelo usuário e serve como instalador para o vírus.

O alerta feito pela empresa de segurança AhnLab fala sobre uma campanha maliciosa que tem donos de sites na Coreia do Sul como alvo. O país possui leis que responsabilizam usuários pelo download e compartilhamento ilegal de conteúdo e é justamente esse o temor usado como isca para a contaminação, com o documento trazendo supostas indicações do que o cidadão deve fazer para evitar uma ação legal.

E-mail fraudulento aponta suposta violação de direitos autorais por donos de sites na Coreia do Sul, com documento que serve para a instalação de vírus (Imagem: Reprodução/AhnLab)

No PDF protegido por senha, como forma de evadir a detecção por softwares de segurança, está o instalador que baixa e executa o ransomware LockBit. A mesma praga já foi usada no Brasil em um ataque à prestadora de atendimento Atento e trava arquivos e pastas do computador, exibindo um pedido de resgate para liberação e não vazamento das informações, que também são extraídas e ficam sob o controle dos criminosos.

Durante o processo, a praga cria uma entrada no registro do Windows para continuar rodando mesmo após o desligamento ou reinicialização do computador. Além disso, antes de iniciar o sequestro dos dados, fecha processos e atividades relacionadas a softwares de segurança, enquanto busca por diferentes discos que possam ser criptografados, o que também inclui pendrives e outros armazenamentos removíveis. Após o processo, a nota de resgate é exibida enquanto as cópias do malware são apagadas para evitar recuperação.

Nota de resgate do ransomware LockBit, que já foi usado em grandes ataques no Brasil, com disseminação em massa tendo corporações como alvo preferencial (Imagem: Reprodução/AhnLab)

De acordo com a AhnLab, não é a primeira vez que supostas violações de copyright são usadas como iscas para a instalação de ransomware. O foco em sites, também, denota uma continuidade no foco em corporações, ainda que a disseminação em massa exiba um comportamento pouco direcionado.

Ignorar o contato é a melhor indicação para evitar contaminação. Avisos desse tipo dificilmente vêm por e-mail, enquanto arquivos anexos com senha definitivamente não são o caminho para servir notificações dessa categoria. O ideal é jamais baixar e executar, bem como clicar em links que venham em mensagens desse tipo.

Em caso de contaminação com ransomware, a recomendação é que as vítimas busquem ajuda especializada e não realizem pagamentos, já que isso ajuda a financiar o cibercrime. Não há garantia, além da palavra do criminoso, de que os dados serão recuperados após a transferência, enquanto essa devolução pode não funcionar ou ser apenas parcial. Investir em backups e ferramentas de segurança ajuda na mitigação e defesa contra golpes de sequestro digital.

No começo desta semana, hackers roubaram mais de 1,5 TB de dados da HBO. E, ao que parece, esse 1,5 TB incluía o próximo episódio da sétima temporada de “Game of Thrones”. O arquivo apareceu no Reddit como um link para o Google Drive a partir do qual era possível baixar o episódio. No entanto, o link já foi removido e não é mais possível acessar o arquivo.

Mesmo assim, tanto o The Verge quanto o Engadget tiveram acesso ao arquivo e puderam confirmar tratar-se, de fato, do próximo episódio da série. Segundo o primeiro site, trata-se de uma versão em baixa qualidade do episódio que contém uma marca d’água dizendo “for internal viewing only” (algo como “apenas para visualização interna”).

Embora o link para o Google Drive tenha sido removido, pode já ser tarde demais. Uma busca rápida por sites de torrent revela que o arquivo já está circulando nesse formato também.

Jogo da pirataria

Sempre que uma nova temporada de “Game of Thrones” é lançada, tem início também mais um capítulo da guerra da HBO contra a pirataria da série. A empresa tem um motivo compreensível para isso: a série é capaz de aumentar de maneira mirabolante a sua receita a cada nova temporada.

Por isso, a HBO começou recentemente a “caçar” as pessoas que pirateiam os episódios, mandando notificações para operadoras cujos usuários estejam assistindo-os por meios ilegais. Mesmo assim, a nova temporada da série foi mais um enorme sucesso de pirataria.