fbpx

logo

Ransomware: Ataques direcionados e em massa | Genco Rio

publicado em:29/10/19 5:42 PM por: Gonçalves EstratégicosMalwareRansomware

Ao final desta leitura você vai descobrir mais sobre ransomware ataques direcionados e em massa!

Desde o surgimento do primeiro CryptLocker em 2013, uma geração de malwares de criptografia distribuídos por spam invadiu o mercado, dando dor de cabeça e extorquindo dinheiro não só de empresas, mas também de usuários comuns.

Mas o que é um ransomware? Como ele funciona?

O ransomware é um tipo de ameaça que se instala nas máquinas a partir de várias fontes.

Pode ser um link malicioso, que chega às caixas de email como spams, oferecendo ofertas e vantagens aos usuários desavisados; sites que direcionam para “ofertas imperdíveis” ou falhas de segurança em programas de acessos remotos.

Ao se instalar, ele rouba e criptografa os dados salvos na máquina ou rede. A partir daí, os donos dos arquivos recebem ameaças de extorsão e são obrigados a pagar aos sequestradores de dados para recuperar suas informações.

Apesar das notícias de erradicação dos ransomwares, as ameaças continuam ativas.

Uma pesquisa da Sophos com 3.100 organizações constatou que 30% das vítimas de ataques cibernéticos foram atingidas por ransomwares e que nove entre dez entrevistados estavam com suas proteções de segurança de sistemas atualizadas no momento do ataque.

Então, por que estes problemas continuam surgindo? O que faz o ransomware ser tão ameaçador?

Hackers mais eficientes

Um dos motivos mais prováveis é a atualização constante dos hackers quanto ao funcionamento dos sistemas de proteção dos antivírus e segurança cibernética.

Mesmo com todas as atualizações, os hackers estão cada vez mais sofisticados e têm conseguido driblar as proteções, encontrando brechas que permitem a invasão.

Programas ‘Exploit as a Service’ (EaaS) estão cada vez mais acessíveis e tiram proveito das vulnerabilidades existentes nos softwares, facilitando o serviço para criminosos. 

Estes agentes de má fé estão se tornando, também, mais persuasivos.

Os erros de gramática e ortografia, que antes eram comuns, são menos constantes e os textos imitam mensagens comuns de trabalho, simulando um conteúdo necessário para o usuário.

Alguns incentivam os desavisados a clicarem em links com mensagens bem disfarçadas, fazendo-se passar por clientes que pedem informações ou orçamentos de produtos e serviços a partir de dados reunidos em um arquivo anexo ou link .

Quando o desavisado abre o arquivo, ativa o download e instalação do programa malicioso, que pode vir disfarçado de arquivos em diferentes formatos, como .txt, .doc ou .ink.

Outra forma de instalação é feita por links em sites. Mesmo sites legítimos e populares podem ser infectados temporariamente com exploit kits, ferramentas que exploram o sistema em busca de falhas e vulnerabilidades.

O simples fato de navegar até o site, clicar em um link aparentemente inocente e passar o mouse sobre um anúncio pode proporcionar o download do ransomware.

Em alguns casos basta olhar a página para liberar a instalação, sem que o usuário perceba, até ser tarde demais. 

O acesso através de RDP (acessos remotos) também pode significar uma ameaça.

Eles incluem tanto usuários que acessam as redes da empresa onde trabalham de casa ou outro local, como também nos servidores hospedados em nuvens.

Cada um desses acessos são portões de entrada para a rede interna da organização. Na maioria das vezes, os acessos remotos são resguardados apenas por um nome de usuário e senhas fáceis de quebrar, o que facilita muito a vida dos invasores.

Falhas de proteção e nível de acesso indevido

Outro motivo que facilita a vida dos criminosos são sistemas com baixa segurança nas empresas e a falta de patches atualizados, capazes de corrigir as brechas e acabar com vulnerabilidades.

A demora na instalação dos patches facilita a entrada dos ransomwares.

Ao mesmo tempo, uma política ineficiente de backups nas empresas faz com que os dados não tenham cópias para a recuperação, aumentando os riscos em caso de ataques.

Usuários com permissões de acesso a áreas ou a arquivos que não são necessárias às suas funções também são um convite ao ataque com ransomwares.

Sem treinamento adequado para a segurança, estes usuários são vítimas fáceis das mensagens maliciosas.

A lista de problemas que facilitam a vida dos ransomwares inclui ainda a falha de estratégias de segurança em camadas, políticas de segurança inconsistentes ou incompletas, acessos remotos mal configurados e o “jeitinho” para que o usuário possa usar o sistema burlando as regras de segurança.  

 

Como acontece um ataque ransomware?

Geralmente os ataques com ransomware acontecem de duas formas, os ataques ransomware direcionados ou ataques ransomware em massas, veja abaixo:

Ransomware ataques em massa

O ransomware ataque em massa, eles atacam várias organizações ao mesmo tempo, com o objetivo de receber diversos pagamentos de valor baixo.

Foi o que aconteceu com o WannaCry  em 2017, que afetou milhares de computadores e deixou usuários sem saber como agir.

Na maioria das vezes um ataque deste tipo começa com o envio em massa de emails de phising ou estímulo para visita de um site infectado que direciona o usuário para um outro IP com um kit de exploração.

O acesso por um destes canais aciona o download e instalação do ransomware, que criptografa os arquivos.

A partir daí, uma nota é gerada e enviada para o email do usuário e o ladrão dos dados tem apenas que esperar o retorno com a confirmação do pagamento.

 

Ransomware ataques direcionado

O Ransomware ataques direcionados, é feito individualmente e, na maioria das vezes, exige quantias muito maiores para a liberação dos dados sequestrados.

Os criminosos conseguem acesso ao sistema e vão identificando as áreas que são essenciais ao seu funcionamento.

Ransomwares deste tipo geralmente são muito eficientes, superando as barreiras de proteção à medida em que surgem e tornando-se difíceis de combater. As etapas deste tipo de ataque podem ser as seguintes:

1 – Entrada no sistema por uma falha no acesso remoto (RDP) ou um malware como o  Emotet and Trickbot

2 – Investigação dos acessos à rede até que consiga a permissão de administrador

3 – Tentativas de ignorar ou desativar os sistemas de segurança com softwares personalizados

4 – Distribuição do ransomware para que os dados sejam criptografados, usando vulnerabilidades de rede, protocolos básicos de compartilhamento de arquivos para comprometer os sistemas ou ferramentas que as empresas já usam em suas redes, como PsExec e PowerShell

5 – Envio de uma nota pedindo o pagamento para que os arquivos sejam liberados e orientando a vítima a entrar em contato por email ou pela darkweb.

Agora que você conheceu mais sobre ransomware: Ataques direcionados e em massa, siga-nos em nossas redes sociais e receba mais conteúdos como esse.

 

 

 

 





Comentários



Adicionar Comentário




11 + 3 =