Publicidade

LockFile criptografa apenas parte de arquivos sequestrados para evitar detecção

Por| Editado por Claudio Yuge | 30 de Agosto de 2021 às 21h00

Link copiado!

Divulgação/Pete Linforth
Divulgação/Pete Linforth

Ao mesmo tempo em que ataques de sequestro digital (ransomware) se tornam mais conhecidos e empresas tomam mais medidas para evitá-los, também cresce a complexidade das operações das gangues responsáveis por usá-los. Uma análise conduzida pela firma de proteção digital Sophos mostra que os operadores do LockFile Ransomware estão criptografando somente partes dos arquivos sequestrados como forma de evitar detecções por sistemas de defesa tradicionais.

Enquanto o método de sequestro tradicional envolve o uso de criptografia de modo a bloquear o acesso completo a arquivos, o novo ataque funciona usando o que a empresa de segurança chama de “criptografia intermitente”. Ao ser vítima da tecnologia, uma pessoa ainda consegue abrir seus arquivos, que parecem estatisticamente aos originais.

“O que diferencia o LockFile é que, ao contrário dos outros, ele não criptografa os primeiros blocos. Em vez disso, o LockFile criptografa todos os outros 16 bytes de um documento”, explica Mark Loman, Diretor de Engenharia da Sophos. Segundo o pesquisador, a ameaça “aparentemente surgiu do nada” e se aproveita de bugs recentes como o ProxyShell e o PetitPotam para invadir seus alvos.

Continua após a publicidade

“A mensagem para os defensores é que o cenário da ameaça cibernética nunca para e os adversários aproveitarão rapidamente todas as oportunidades ou ferramentas possíveis para lançar um ataque bem-sucedido. Segurança significa estar pronto e resiliente contra os ataques de amanhã. Isso requer tecnologias profundas e inteligentes, além de detecção e resposta humana”, alerta Loman.

Ameaça sofisticada

Além de trabalhar com um tipo diferente de criptografia, o LockFile também adota um processo incomum conhecido como “entrada/saída mapeada na memória”. Isso permite a ele criptografar documentos armazenados no cache de memória do computador sem criar o tráfego telemático adicional de entrada/saída que tecnologias de proteção costumam detectar.

Continua após a publicidade

A ameaça também se diferencia por não exigir a conexão com um centro de controle para agir, se excluindo automaticamente assim que termina de bloquear os arquivos. Além de isso garantir uma maior dificuldade para detectá-la, a falta de binários dificulta o trabalho de especialistas dedicados a eliminar e analisar o comportamento do ransomware — para completar, o LockFile evita criptografar aproximadamente 800 extensões, o que confunde ainda mais especialistas em segurança digital.

Confira algumas das dicas da Sophos para se proteger do novo ataque de sequestro digital:

  • Implemente um sistema de proteção em camadas, que garanta a possibilidade de isolar partes contaminadas e minimizar o impacto de ataques digitais;
  • Use sistemas de proteção especializados e atualizados, bem como a ajuda de especialistas em segurança digital para estabelecer métodos de proteção eficientes e criar protocolos de respostas a crises;
  • Monitore e investigue com cuidado todas as ameaças que podem chegar ao sistema;
  • Defina e aplique senhas fortes e únicas a cada conta, e sempre ligue a autenticação em dois fatores quando ela está disponível;
  • Bloqueie acessos externos desnecessários: desabilite portas VNC e RDP que não são necessárias e sempre use uma rede VPN caso precise conceder acesso externo à sua rede, limitando o número de pessoas que podem usar esse recurso;
  • Realize auditorias frequentes no Active Directory para garantir que nenhum usuário tem mais acesso do que o necessário.

A empresa de segurança também recomenda que o sistema operacional e outros softwares atualizados se mantenham atualizados, especialmente aqueles considerados críticos — como máquinas que gerenciam tráfego de internet ou controladores de domínio. Nesse caso, não basta simplesmente baixar os patches disponíveis por desenvolvedores, mas também é preciso assegurar que eles foram devidamente instalados e configurados de maneira segura.