Check Point® Software Technologies Ltd., fornecedor líder especializado em cibersegurança a nivel mundial, alerta para a rápida transformação do ransomware, a que se tem assistido nos últimos anos. Antes, os cibercriminosos enviavam e-mails de phishing para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitetura do malware, com o objetivo de aumentar o grau de precisão e as técnias que permitem aceder aos botnets.

O objetivo destas campanhas também mudou. Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance. A capacidade para encriptar o servidor de ficheiros de uma organização, causa mais prejuízo à empresa, do que a encriptação de um dispositivo para uso pessoal, quer seja móvel, USB…

Aumentar a precisão dos ataques

À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, também assiste-se a uma evolução do ransomware relativamente a ataques mais sofisticados e efetivos, através dos quais vários ficheiros são infetados simultaneamente. Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estam a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objetivo entrar nos ambientes de trabalho das vítimas.

Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adotar ferramentas para encontrar e explorar relações utilizador/grupo/administrador mal configuradas. As configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os ativos mais críticos e encriptá-los.

Já não são enviados e-mails em massa, ao invés, os cibercriminosos sabem exactamente para onde direcionam os seus ataques e infetam ativos críticos, de forma simultânea.

A etapa seguinte do ransomware: o uso de botnets

Uma botnet é uma rede constituida por um grande número de dispositivos informáticos que tenham sido “sequestrados”, através do uso de malware, e cujos recursos possam ser utilizados por terceiros. Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware de forma massiva. Esta é, nos dias de hoje, considerada uma das maiores ameaças da internet.

A tática de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para proliferar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.

Normalmente o vetor de ataque é um e-mail de phishing com ficheiros maliciosos. Os técnicos especialistas da Check Point salientam que as táticas de implementação de ransomeware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer.

Com o tempo serão utilizados outros bots, mas a forma simples e efectiva de espalhar malware, torna-os numa opção muito atrativa para os cibercriminosos.

Classifique este item
(0 votos)
Ler 505 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top