Aviso sobre pirataria é na verdade isca para instalação de ransomware

Um falso aviso sobre violação de direitos autorais está sendo usado como isca para instalação do ransomware LockBit. A praga aparece no anexo de um e-mail fraudulento, em um arquivo PDF que, supostamente, traz informações sobre o arquivo compartilhado ilegalmente pelo usuário e serve como instalador para o vírus.

• Ransomware parece focar no Brasil e aparece em 40% dos ataques
• Malware bancário criado no Brasil continua evoluindo em ataques na Europa

O alerta feito pela empresa de segurança AhnLab fala sobre uma campanha maliciosa que tem donos de sites na Coreia do Sul como alvo. O país possui leis que responsabilizam usuários pelo download e compartilhamento ilegal de conteúdo e é justamente esse o temor usado como isca para a contaminação, com o documento trazendo supostas indicações do que o cidadão deve fazer para evitar uma ação legal.

No PDF protegido por senha, como forma de evadir a detecção por softwares de segurança, está o instalador que baixa e executa o ransomware LockBit. A mesma praga já foi usada no Brasil em um ataque à prestadora de atendimento Atento e trava arquivos e pastas do computador, exibindo um pedido de resgate para liberação e não vazamento das informações, que também são extraídas e ficam sob o controle dos criminosos.

Durante o processo, a praga cria uma entrada no registro do Windows para continuar rodando mesmo após o desligamento ou reinicialização do computador. Além disso, antes de iniciar o sequestro dos dados, fecha processos e atividades relacionadas a softwares de segurança, enquanto busca por diferentes discos que possam ser criptografados, o que também inclui pendrives e outros armazenamentos removíveis. Após o processo, a nota de resgate é exibida enquanto as cópias do malware são apagadas para evitar recuperação.

De acordo com a AhnLab, não é a primeira vez que supostas violações de copyright são usadas como iscas para a instalação de ransomware. O foco em sites, também, denota uma continuidade no foco em corporações, ainda que a disseminação em massa exiba um comportamento pouco direcionado.

Ignorar o contato é a melhor indicação para evitar contaminação. Avisos desse tipo dificilmente vêm por e-mail, enquanto arquivos anexos com senha definitivamente não são o caminho para servir notificações dessa categoria. O ideal é jamais baixar e executar, bem como clicar em links que venham em mensagens desse tipo.

Em caso de contaminação com ransomware, a recomendação é que as vítimas busquem ajuda especializada e não realizem pagamentos, já que isso ajuda a financiar o cibercrime. Não há garantia, além da palavra do criminoso, de que os dados serão recuperados após a transferência, enquanto essa devolução pode não funcionar ou ser apenas parcial. Investir em backups e ferramentas de segurança ajuda na mitigação e defesa contra golpes de sequestro digital.

Fonte: AhnLab