Vírus não funcionam de forma automatizada como as pragas digitais antigas. Invasores adaptam ataques e exploram erros de configuração. Vírus de resgate ‘automatizados’ estão dando lugar a pragas digitais instaladas por humanos, que usam ferramentas para roubar senhas em redes corporativas e chegar ao maior número possível de computadores.
Simon Stratford/Freeimages
Embora os filmes e séries de TV normalmente mostrem hackers “pilotando” ataques em tempo real, a maioria das violações é consequência do trabalho automatizado de programas invasores.
Os criminosos muitas vezes nem sabem se o vírus que eles criaram contaminou um notebook de um estudante ou um servidor que armazena o banco de dados de uma empresa.
Mas uma nova onda de vírus de resgate está deixando a realidade um pouco mais próxima da ficção. Os códigos são personalizados e configurados em tempo real pelos criminosos, inclusive provocando as vítimas com referências, como o nome de empresa ou o número de telefone.
O fenômeno não é novo, mas um relatório recente da Microsoft expôs detalhes dos procedimentos de três gangues envolvidas nesses ataques, que operam os vírus de resgate Wadhrama, Doppelpaymer e Ryuk.
Vírus de resgate são assim chamados porque exigem que a vítima desembolse uma certa quantia para restaurar arquivos e o funcionamento de sistemas “sequestrados”. Uma consequência da ação humana é uma arbitrariedade maior no valor cobrado.
Enquanto vírus de resgate antigos cobravam o mesmo valor de todas as vítimas, o preço do resgate nos vírus desta nova onda varia conforme os dados sequestrados e os recursos da vítima para quitar o resgate. O Wadhrama, por exemplo, pode cobrar de 0,5 a 2 Bitcoin (R$ 18 a R$ 74 mil) por máquina contaminada.
Tela de aviso do sequestro de arquivos do vírus de resgate Wadhrama, um dos programas utilizados pelos criminosos.
Reprodução/Microsoft
Acesso a dados confidenciais
Uma vítima recente do Doppelpaymer foi a Visser Precision, uma fabricante de peças e fornecedora da Tesla e da Boeing. Os criminosos criptografaram os arquivos como de costume, mas o resgate foi cobrado também sob a ameaça de que o não pagamento levaria ao vazamento desses arquivos.
Em um site dedicado ao golpe, os hackers publicaram contratos confidenciais para servir de “amostra” do que poderia vir a público.
Esse tipo de flexibilidade e adaptação ao alvo não é comum em vírus de resgate “automáticos”. De acordo com a Microsoft, o DoppelPaymer nem sequer possui capacidade de contaminar outros computadores da rede. Toda a disseminação é controlada manualmente pelos hackers, que também personalizam outros aspectos da contaminação.
O vírus de resgate normalmente não é ativado imediatamente. Antes, os hackers aprofundam o acesso na rede atacada, roubando senhas e elevando os privilégios e permissões em cada sistema alcançado.
O vírus de resgate pode demorar semanas ou meses para aparecer, segundo o relatório. Nesse período, os hackers se aproveitam das máquinas para outras finalidades, como o envio de mensagens indesejadas (spam) ou mineração de criptomoedas.
Além de aumentar o número de máquinas e agravar as consequências do ataque, essa estratégia fortalece a presença dos criminosos na rede. Se eles não forem expulsos por completo, o vírus pode ser novamente acionado.
De acordo com o FBI, criminosos já conseguiram cobrar pelo menos US$ 144 milhões (cerca de R$ 676 milhões) das vítimas de vírus de resgate desde 2013. O número foi estimado com base em uma análise das carteiras de Bitcoin associadas com o crime. Pagamentos em outras moedas não foram contabilizados.
Senhas fracas e sem antivírus
Para a atividade ser mais lucrativas, os criminosos miram as redes de empresas e instituições governamentais.
Para chegar nelas, as gangues utilizam ataques à Área de Trabalho Remota (RDP, na sigla em inglês), uma tecnologia comum em redes corporativas. Muitas vezes, os invasores tentam diversas combinações de usuário/senha até conseguir o acesso.
Em outros casos, o acesso inicial pode ser realizado por vírus que roubam senhas bancárias e normalmente chegam por e-mail, como o Trickbot ou Dridex. Segundo a empresa de segurança Check Point, o Trickbot foi distribuído por e-mails falsos que prometem conteúdo ligado ao coronavírus.
A Microsoft afirmou que alguns dos ataques mais bem-sucedidos foram realizados contra servidores sem antivírus ou controles de segurança. De acordo com a Microsoft, essa situação normalmente acontece por receio de que as proteções possam interferir no funcionamento do servidor ou diminuir o desempenho da máquina.
Por essa razão, esses criminosos não estão no mesmo nível dos operadores de ataques sofisticados (chamados de “APT”). Para a Microsoft, esses problemas podem ser evitados, mas é preciso uma “mudança de mentalidade” nas empresas: em vez de tentar resolver o problema o mais rápido possível, as causas de uma invasão devem ser analisadas e compreendidas.
Sem essa análise, é possível que a empresa não consiga expulsar os invasores e tenha problemas mais de uma vez.
A Microsoft recomendou o uso do Windows Defender ATP, a configuração de boas senhas e o monitoramento de tentativas de ataques de força bruta. A empresa sugere o uso de senhas administração temporárias ou credenciais restritas para reduzir a eficácia do roubo de senhas locais.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Comentar