RansomEXX e Egregor: os ransomwares “da moda” que você deve temer

Os malwares evoluem quase que diariamente. Novas famílias de scripts maliciosos são lançadas o tempo todo e as equipes de segurança precisam se manter atentas para se proteger contra as novas ameaças. Segundo um alerta emitido por pesquisadores da Kaspersky, dois ransomwares estão chamando atenção pelo alto nível de atividade ao longo dos últimos meses — estamos falando do RansomEXX e do Egregor.

• STJ e outros órgãos do governo são alvos de ataques cibernéticos
• Embraer | Dados de funcionários e documentos sigilosos vazam após ataque hacker
• Capcom é atingida por ataque de ransomware

O primeiro deles, aliás, caiu na boca do povo brasileiro no comecinho de novembro. Foi ele que criptografou os servidores do Supremo Tribunal de Justiça (STJ), causando a suspensão de sessões de julgamento durante quase uma semana. Uma de suas características é usar o nome da vítima como extensão para os arquivos criptografados — no caso do órgão judicial, os documentos receberam o formato STJ888.

Ademais, diferente de outros ransomwares altamente direcionados, os operadores do RansomEXX criam emails novos na plataforma ProtonMail para se comunicar com as vítimas. No geral, segundo a Kaspersky, ele chama atenção por não ter capacidades de se comunicar com servidores remotos de comando e controle (C2), encerrar processos em execução ou empregar truques que dificultem sua análise.

Dentre outras vítimas recentes do vírus, podemos citar a também brasileira Embraer (uma das maiores fabricantes de aeronaves do mundo), a estadunidense IPG Photonics (respeitada fabricante de lasers de fibra óptica empregados nos mais variados segmentos) e a japonesa Konica Minolta (que produz câmeras fotográficas, equipamentos de escritório e instrumentos de medida).

Já o Egregor ganhou fama após paralisar as atividades do Cencosud, consórcio multinacional de origem chilena e que atua no comércio varejista em diversos países da América do Sul. A infecção ocorreu na segunda quinzena do mês passado e, por mais que as lojas tenham permanecido abertas, os clientes não eram capazes de realizar compras via cartão de crédito, realizar devoluções ou retirar pedidos feitos na web.

Considerado um vírus agressivo pelos pesquisadores da Kaspersky, o Egregor dá apenas 72 horas para que suas vítimas paguem o resgate solicitado — caso contrário, os dados criptografados serão roubados e disseminados na web. Trata-se de um exemplo daquilo que chamamos de “ransomware 2.0”; ou seja, além de sequestrar os documentos, ele também ameaça divulgá-los na internet.

“Para proteger os dados da companhia de ataques de ransomware, recomendamos prestar mais atenção à cultura digital dentro da empresa, sempre atualizando os sistemas operacionais e usando soluções de segurança, como Kaspersky Endpoint Detection and Response, para evitar ataques em um estágio inicial”, recomenda Fabio Assolini, especialista sênior de segurança da Kaspersky no Brasil.

Um deles foi o responsável por atacar o Supremo Tribunal de Justiça no começo de novembro, além de ter sequestrado dados da fabricante de aeronaves Embraer; já o segundo ficou famoso por atingir o consórcio multinacional Cencosud

Fonte: Kaspersky