Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

Falha em ransomware permite que vítimas liberem arquivos sem pagar nada

Por| Editado por Claudio Yuge | 08 de Fevereiro de 2023 às 17h20

Blog Kaspersky
Blog Kaspersky
Continua após a publicidade

Uma nova variante do ransomware Clop mira diretamente servidores Linux rodando softwares da Oracle, mas também contém falhas que permitem a liberação dos arquivos após ataques, sem a necessidade de pagamento ou negociação com os criminosos. O malware que vem circulando desde dezembro do ano passado ainda parece estar em fase inicial de implementação, mas pelo menos por enquanto, segue derrotado sob a ação de empresas de segurança digital.

A SentinelLabs é a principal responsável por isso, liberando no GitHub um script programado em Python que é capaz de liberar arquivos bloqueados pelo Crop. O segredo está no uso de uma “chave mestra” de criptografia RC4 para realizar o travamento dos dados, que acaba armazenada no próprio sistema travado de forma desprotegida, o que permite que o processo seja revertido pelas próprias vítimas.

A análise da SentinelLabs também aponta um malware Linux bastante similar à sua versão com Windows, mais bem-sucedida em ataques contra corporações. Entretanto, a praga lida com APIs e outros recursos do sistema operacional de maneira diferente, o que resulta na ausência até mesmo de métodos de ocultamento das próprias atividades, com processos abertos e visíveis a sistemas de monitoramento e tentativas de elevação de privilégios que podem ser detectadas por softwares de segurança.

Falha em ransomware permite que vítimas liberem arquivos sem pagar nada
Até a nota de resgate do ransomware Clop, no Linux, é mais simples que a da versão Windows da praga, trazendo apenas meios de contato com a quadrilha para negociação de pagamento e liberação de dados (Imagem: Reprodução/SentinelLabs)

Faltam também métodos que agilizam o processo de travamento dos dados, como a leitura de drives conectados para entender as prioridades no comprometimento e ferramentas de controle do que será bloqueado, de forma a evitar que todo o sistema operacional seja corrompido. Com tudo isso, os especialistas apontam que o ransomware Clop não deve se tornar uma ameaça a se considerar, pelo menos em seu estado atual.

Isso não significa, claro, que as coisas não possam mudar em breve, já que o malware ainda parece estar em desenvolvimento. A descoberta de uma versão incompleta, porém, auxilia nas tarefas de prevenção e também no lide com agências de segurança e autoridade, bem como na intensificação de medidas de segurança corporativa para garantir que, caso a praga evolua, ela siga não sendo um perigo importante para as redes internas.

Fonte: SentinelLabs