Depois de um tempo atuando apenas em PC’s com Windows, o ransomware RansomEXX agora também afeta o Linux. Saiba mais detalhes sobre ele.
A empresa de segurança Kaspersky anunciou recentemente que descobriu uma variante do Linux do ransomware RansomEXX, marcando a primeira vez que uma grande variedade de ransomware do Windows mudou para o Linux para ajudar nas invasões direcionadas.
RansomEXX, um ransomware que também afeta o Linux
Este ransomware foi anteriormente relatado como sendo usado em ataques contra o Departamento de Transporte do Texas, Konica Minolta, a empreiteira do governo dos EUA Tyler Technologies, o sistema de trânsito de Montreal e, mais recentemente, o Sistema Judicial Brasileiro (STJ).
RansomEXX está entre aqueles que assumem grandes objetivos em busca de grandes pagamentos, sabendo que algumas empresas ou agências governamentais não podem se dar ao luxo de ficar ociosas enquanto recuperam seus sistemas.
No final de 2019, o FBI publicou um anúncio de serviço público de ransomware para educar o público sobre o número crescente de ataques a empresas e organizações nos Estados Unidos.
“Os ataques de ransomware estão se tornando mais seletivos, sofisticados e caros, embora a frequência geral dos ataques permaneça constante. Desde o início de 2018, a incidência de campanhas de ransomware indiscriminadas e em grande escala diminuiu drasticamente, mas as perdas com ataques de ransomware aumentaram dramaticamente, de acordo com reclamações recebidas pelo IC3 [Internet Crime Complaint Center] e informações sobre casos do FBI.”
O FBI observou que os hackers usam as seguintes técnicas para infectar as vítimas com ransomware:
- Campanhas de phishing de e-mail: o invasor envia um e-mail contendo um arquivo ou link malicioso, que implanta software malicioso quando o destinatário clica nele. Os hackers costumam usar estratégias genéricas e gerais de spam para implementar seu malware, enquanto as campanhas recentes de ransomware têm sido mais específicas. Os criminosos também podem comprometer a conta de e-mail da vítima usando malware precursor, que permite ao cibercriminoso usar a conta de e-mail da vítima para espalhar ainda mais a infecção.
- Vulnerabilidades de protocolo de área de trabalho remota: RDP é um protocolo de rede proprietário que permite que as pessoas controlem os recursos e dados de um computador pela Internet. Os hackers têm usado os dois métodos de força bruta, uma técnica baseada em evidências, para obter as credenciais do usuário. Eles também usaram credenciais adquiridas em mercados darknet para obter acesso RDP não autorizado a sistemas vitimados. Assim que tiverem acesso ao RDP, os criminosos podem implantar uma variedade de malware, incluindo ransomware, em sistemas vitimados.
- Vulnerabilidades de software: os hackers podem explorar falhas de segurança em programas de software amplamente usados para assumir o controle de sistemas vitimados e implementar ransomware. Por exemplo, os hackers exploraram recentemente vulnerabilidades em duas ferramentas de administração remota usadas por provedores de serviços gerenciados (MSPs) para implantar ransomware nas redes de clientes de pelo menos três MSPs.
A CrowdStrike, uma empresa de tecnologia de segurança cibernética, descobriu que houve um aumento significativo nos ataques de ransomware direcionados ao ‘grande jogo’.
“Como eles sabem que suas vítimas são sensíveis ao tempo de inatividade, é mais provável que paguem um resgate, independentemente do custo desse resgate.
Alguns alvos prováveis incluem:
- Cuidados de saúde;
- Empresas da indústria de manufatura;
- Serviços gerenciados;
- Agências governamentais.”
No ano passado, houve uma mudança de paradigma na maneira como esses operadores operam. Vários deles perceberam que atacar primeiro os desktops não é um negócio lucrativo, pois as empresas tendem a usar imagens de backup dos sistemas afetados para evitar o pagamento do resgate.
Nos últimos meses, em vários incidentes, alguns operadores de ransomware não se preocuparam em criptografar estações de trabalho e visaram principalmente servidores críticos dentro da rede de uma empresa, sabendo que, ao atacar esses sistemas primeiro, as empresas eles não puderam acessar seus dados.
O fato de os operadores da RansomEXX estarem criando uma versão Linux do ransomware do Windows está em linha com essa linha de pensamento, já que muitas empresas podem ter sistemas internos em Linux e nem sempre em Windows Server.