Ransomware segue como principal ameaça digital em agosto

Ransomware segue como principal ameaça digital em agosto

Por Dácio Castelo Branco | Editado por Claudio Yuge | 08 de Setembro de 2021 às 15h20
Andrea Piacquadio/Pexels

Novas versões de ataques de sequestro digital (ransomware) já conhecidos pelo mundo da segurança foram os destaques das vulnerabilidades digitais em agosto. A conclusão é da ISH Tecnologia, empresa brasileira especialista nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas.

O principal ataque identificado pela ISH foi o ransomware RansomExx, existente desde 2018, e que pode afetar tanto sistemas Windows quanto Linux. A ofensiva já atendeu por outros nomes em versões anteriores, como Ransom X, Target777, Defray777, Defray e Defray 2018.

Na sua variante feita para sistemas Windows, o RansomExx infecta as máquinas por meio de uma transmissão de dados que não chega a fazer registros no disco rígido do computador, tornando sua detecção por softwares de proteção mais difícil. Já na variante do Linux, descoberta pela primeira vez em julho de 2020, os dados são criptografados com uma chave única por vítima, só sendo descriptografados mediante o pagamento do resgate.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

As práticas de defesa recomendadas para que redes fiquem protegidas do RansomExx são: manter backups offline dos dados da empresa sempre atualizados, criar estratégias de resposta para ataques virtuais padronizadas por toda companhia e reduzir a incidência de recebimento de e-mails de phising, por meio de filtros anti-spam.

Outras falhas

Outro ataque identificado no mês de agosto foi o HTML Smuggling, método anteriormente usado na invasão ocorrida na empresa norte-americana Solar Winds em 2020.

O HTML Smuggling é realizado a partir de JavaScript, onde o criminoso gera um código HTML malicioso que será interpretado somente por navegadores de internet do dispositivo alvo, escapando assim da detecção de softwares de proteção, já que ele é executado dentro das permissões de segurança dadas ao browser.

É importante frisar que por mais que isso pareça uma falha, o mesmo modelo de execução de comandos é usado por programadores e técnicos para otimizar downloads, por exemplo, o que torna mais difícil a prevenção de casos onde esse método de invasão é usado.

Como a desativação do JavaScript é inviável, já que muitos programas e páginas da internet usam o recurso, a defesa recomendada pela ISH Tecnologia para esse tipo de ataque é implementar na rede um sistema de proteção por camadas, onde cada ação e mudança na conexão seja analisada individualmente, para poder detectar e bloquear o malware com mais facilidade.

O ransomware chamado LockBit 2.0 também figurou na lista de agosto, sendo a nova versão de um ataque existente desde 2019. Em sua versão original, ele ficou conhecido como um "ransomware como serviço", onde criminosos contratavam os serviços da gangue responsável pelo vírus e dividiam os lucros de qualquer ataque com ela.

Na sua nova versão ele conta com maior velocidade de criptografia de dados (cerca de 373 MB por segundo), além do alto valor cobrado pelos criminosos para o resgate dos arquivos. No ataque registrado contra a multinacional de gestão Accenture, o valor pedido pela liberação de dados foi de US$ 50 milhões (quase R$ 265 milhões na cotação atual) para os 6 TB de dados

Assim como no caso de outros ransomware, a ISH recomenda que para poder se precaver de ataques como esse as empresas estejam constantemente atualizando hardware e software, mantenham um rígido monitoramento de acessos em sua rede e realizem auditoria de acessos de todos os dados organizacionais e de quem fez uso deles com frequência.

Vulnerabilidade do Microsoft Exchange Server

Por fim, vulnerabilidades foram encontradas no Microsoft Exchange Server. As falhas descobertas permitiam que invasores tomassem o controle de máquinas onde o software estava sendo executado.

A vulnerabilidade permitia que invasores pudessem enviar dados especialmente criados para o servidor de e-mails e executassem código arbitrário (nome dado a comandos que permitem que invasores possam executar qualquer ação em uma máquina invadida) no sistema.

A Microsoft já lançou atualizações para o Microsoft Exchange Server que corrigem essa vulnerabilidade, eliminando o risco para quem usar a versão mais atual do servidor de e-mails, com detalhes e link para download no site oficial de atualizações e segurança da empresa. No mais, ficam as recomendações de segurança comuns: manter sistemas e programas sempre na versão mais atual.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.