Erros "amadores" de cibercriminosos encerram o próprio ataque contra Microsoft

Uma campanha de ransomware que passou como um foguete pelos usuários de sistemas de e-mail da Microsoft é dada como quase finalizada não pela presença de atualizações, mas sim, por erros citados como “amadores” e cometidos pelos responsáveis pela praga. Uma análise mostrou que, ao realizar suas ações, o malware Black Kingdom mantinha certas pastas de fora, além de contar com chaves de criptografia em seu próprio código, permitindo assim que os atingidos recuperassem seus arquivos diretamente.

• Ransomware: 80% das vítimas que pagam acabam sendo atacadas de novo
• Gangue de ransomware encerra atividades e "liberta" quase 3 mil vítimas
• Ucrânia prende membros de gangue internacional de ransomware

As conclusões aparecem em um relatório da Kaspersky e chegam a soar estranhos para uma praga que circulava desde 2019, apesar de sua campanha ter se intensificado somente em março deste ano. Os especialistas são taxativos ao afirmarem que o malware não parece tão bem desenvolvido quanto deveria, envolvendo outros erros básicos que permitiriam uma ação rápida para coibir os golpes, sem que os criminosos obtivessem o retorno financeiro que é o objetivo central destes ataques.

Ao contaminar um servidor Exchange desprotegido, por meio de uma falha conhecida e já corrigida que permitia a execução remota de código malicioso, o Black Kingdom se movia lateralmente enquanto levantava os dados possíveis de bloqueio nos computadores. Ao mesmo tempo, porém, ele deixava de lado pastas importantes do sistema operacional, como ProgramData, Arquivos de Programas e System32, de forma a não “quebrar” a plataforma durante o processo.

Após esse processo, o travamento dos dados era iniciado, enquanto a chave de criptografia única era hospedada no serviço gratuito Mega, uma conexão facilmente detectável por administradores e normalmente bloqueada por sistemas de segurança. Nestes casos, o Black Kingdom usava uma alternativa única, que não apenas ficava armazenada junto aos arquivos travados, como se tornou popular entre especialistas, justamente, por permitir o desbloqueio dos dados sem a necessidade de pagamento dos resgates.

De acordo com a Kaspersky, outros erros básicos foram cometidos pelos criminosos, como o uso de uma única carteira de criptomoedas em todos os ataques realizados, em vez de um endereço ser criado para cada golpe. Assim, ficou fácil rastrear os fundos até os desenvolvedores originais da praga, bem como entender o nível de alcance das contaminações que, no final das contas, não tiveram o resultado esperado — apenas duas transações, o recebimento do equivalente a cerca de US$ 6,2 mil, bem como a retirada desse montante, foram registradas.

Prova disso é que, apenas meses após a onda de tentativas de comprometimento envolvendo os servidores Exchange, o Black Kingdom não é mais usado em campanhas ativas. Por outro lado, a Kaspersky alerta que, como já fez antes, o ransomware sempre pode retornar em uma nova versão, com os problemas corrigidos e funcionamento mais sofisticado.

Sendo assim, a principal recomendação de segurança é a atualização de sistemas vulneráveis, de forma que as aberturas descobertas não possam ser usadas por atacantes. O uso de sistemas de monitoramento e análise de ameaças também é uma indicação, assim como a realização de backups constantes para minimizar os prejuízos no caso de um golpe bem-sucedido.

Fonte: Kaspersky