Publicidade

Falha em ransomware permite que vítimas liberem arquivos sem pagar nada

Por| Editado por Claudio Yuge | 08 de Fevereiro de 2023 às 17h20

Link copiado!

Blog Kaspersky
Blog Kaspersky

Uma nova variante do ransomware Clop mira diretamente servidores Linux rodando softwares da Oracle, mas também contém falhas que permitem a liberação dos arquivos após ataques, sem a necessidade de pagamento ou negociação com os criminosos. O malware que vem circulando desde dezembro do ano passado ainda parece estar em fase inicial de implementação, mas pelo menos por enquanto, segue derrotado sob a ação de empresas de segurança digital.

A SentinelLabs é a principal responsável por isso, liberando no GitHub um script programado em Python que é capaz de liberar arquivos bloqueados pelo Crop. O segredo está no uso de uma “chave mestra” de criptografia RC4 para realizar o travamento dos dados, que acaba armazenada no próprio sistema travado de forma desprotegida, o que permite que o processo seja revertido pelas próprias vítimas.

A análise da SentinelLabs também aponta um malware Linux bastante similar à sua versão com Windows, mais bem-sucedida em ataques contra corporações. Entretanto, a praga lida com APIs e outros recursos do sistema operacional de maneira diferente, o que resulta na ausência até mesmo de métodos de ocultamento das próprias atividades, com processos abertos e visíveis a sistemas de monitoramento e tentativas de elevação de privilégios que podem ser detectadas por softwares de segurança.

Continua após a publicidade

Faltam também métodos que agilizam o processo de travamento dos dados, como a leitura de drives conectados para entender as prioridades no comprometimento e ferramentas de controle do que será bloqueado, de forma a evitar que todo o sistema operacional seja corrompido. Com tudo isso, os especialistas apontam que o ransomware Clop não deve se tornar uma ameaça a se considerar, pelo menos em seu estado atual.

Isso não significa, claro, que as coisas não possam mudar em breve, já que o malware ainda parece estar em desenvolvimento. A descoberta de uma versão incompleta, porém, auxilia nas tarefas de prevenção e também no lide com agências de segurança e autoridade, bem como na intensificação de medidas de segurança corporativa para garantir que, caso a praga evolua, ela siga não sendo um perigo importante para as redes internas.

Fonte: SentinelLabs