Gangues de ransomware adotam destruição de arquivos como método de ataque

Uma tática ainda mais devastadora vem sendo aplicada por gangues conhecidas de ransomware. Em vez de sequestrarem os arquivos e exigirem resgate para devolução, os bandidos estão começando a corromper os dados enviados a servidores próprios, reduzindo o tempo necessário para ataque e aumentando a possibilidade de pagamento, já que uma recuperação não é possível de outra maneira.

• Os 5 métodos de ataque cibernético em que você precisa ficar de olho
• Segurança não deve ser sobre medo, mas sim esperança, diz executiva da Microsoft

Aqui, a ideia seria combater diferentes frentes de detecção e mitigação de ataques, além de aumentar os ganhos para os próprios criminosos. Basicamente, durante um ataque, cada informação enviada ao servidor remoto usado pelos bandidos é corrompida no dispositivo da vítima a partir de alterações cruzadas: um segmento do segundo arquivo, por exemplo, é lido e sobrescrito sobre o começo do primeiro, o tornando ilegível, e assim sucessivamente até o fim do golpe.

Assim, seria possível escapar da detecção heurística por softwares de segurança, que detectam o comportamento dos ransomwares. Além disso, bugs na implementação das ferramentas de travamento, que poderiam permitir recuperação, também são evitados, enquanto as quadrilhas realizadores dos ataques ficariam com uma parcela maior dos ganhos, não tendo de os dividir com os desenvolvedores de encriptadores.

Como as novas ações dos grupos de ransomware foram detectadas?

O comportamento foi detectado por especialistas em segurança da Stairwell em golpes associados ao grupo de ransomware BlackMatter, enquanto anteriormente, também havia sido encontrado pela Symantec em um ataque realizado pela quadrilha Noberus. O primeiro caso foi analisado mais de perto e indica uma mudança ainda em andamento pelo bando, com ferramentas de destruição de dados que parecem estar em fase de testes e ainda não funcionam da maneira correta, além de não conter mecanismos para evitar que os mesmos arquivos sejam destruídos sucessivamente.

Seria, também, uma forma de ampliar o terror envolvendo um ataque de ransomware, aumentando a possibilidade de um pagamento rápido para devolução dos arquivos, diante da catástrofe. Para os pesquisadores da Cyderes, seria um retorno ao modelo antigo de ataques, em que os ganhos não precisam mais ser compartilhados e os operadores realizam ataques do início ao fim, sendo responsáveis desde a entrega de malware até a negociação, recebimento de valores e devolução dos arquivos.

Trata-se de um tipo de exploração ainda incipiente, mas que levanta alertas em uma economia de ransomware cada vez mais segmentada e profissionalizada. Diante de vazamentos de códigos-fonte, bugs e demais devolutivas aos encriptadores usados pelas quadrilhas, muitas delas estão alterando seus métodos para tentar sair à frente das outras, com um resultado cada vez mais danoso para as corporações.

Fonte: Stairwell