Campanha de ransomware foca em usuários finais do Windows

Falsas notificações de atualização do sistema operacional são as armas de uma nova campanha de contaminação com o ransomware Magniber, que atinge usuários finais do Windows 10 e 11. A partir de sites fraudulentos, os criminosos também ofertam produtos de segurança e induzem ao download de um arquivo em formato ZIP, que utiliza JavaScript para realizar a contaminação e travar os dados dos usuários.

• Windows 10: melhores dicas de segurança para proteger seu PC
• Saiba os perigos de deixar o celular desatualizado

Os operadores do ransomware, na sequência, pedem um resgate de US$ 2.500, aproximadamente R$ 13.270, para entregar uma ferramenta de liberação dos arquivos travados. De acordo com o time de inteligência em ameaças da HP, responsável pela divulgação dos ataques, diferentes versões do sistema operacional podem ser comprometidas, enquanto o uso de JavaScript permite ofuscar a contaminação de sistemas de segurança.

Isso acontece a partir de uma técnica chamada “DotNetToJScript”, que executa dados .NET na memória do sistema operacional; a partir deles, os códigos maliciosos são capazes de injetar novos processos e encerrar os próprios, também realizando ações no computador. Os atos envolvem apagar backups e mecanismos de recuperação do Windows, além de selecionar os arquivos que serão travados pelo ransomware.

A praga também é capaz de criar chaves de registro e explorar sistemas de controle de acesso da plataforma, resultando em uma exploração bem-sucedida e na exibição de uma nota de resgate. A ideia de acabar com cópias ocultas e demais mecanismos de recuperação dificulta o destravamento dos arquivos e aumenta a chance de os usuários realizarem o pagamento, cujo valor é considerado baixo diante da perda de dados em potencial.

De acordo com a HP, a versão do Magniber usada no comprometimento é imperfeita, com casos de colisão de hash entre os arquivos travados e danos colaterais que podem impossibilitar uma recuperação até mesmo mediante pagamento. A disseminação em massa, também, vem sendo detectada em outras instâncias desde janeiro deste ano, com a nova campanha sendo apenas a mais recente a mirar pessoas comuns em um ambiente no qual o ransomware cada vez mais foca em grandes empresas e golpes com alto potencial de lucratividade.

O cuidado no clique e download de soluções é o melhor caminho para proteção. Os usuários devem evitar notificações em sites que prometam softwares de segurança, atualizações do Windows ou falem em problemas no computador, preferindo sites oficiais e sistemas da própria Microsoft para tais tarefas. Realizar backups e manter cópias separadas de arquivos também ajuda em caso de contaminação, enquanto o pagamento jamais deve ser realizado aos criminosos.

Fonte: HP Threat Research