2018-11-26

SEGURANÇA

Como está a evoluir o ransomware?

O ransomware tem sofrido uma rápida transformação nos últimos anos. Enquanto há uns anos estes ataques estavam dirigidos a qualquer utilizador final, hoje os hackers estão mais focados em alvos específicos, redes corporativas, na sua grande maioria

Tal como recorda a Check Point, enquanto tradicionalmente os cibercriminosos enviavam e-mails de phishing para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitetura do malware, com o objetivo de aumentar o grau de precisão e as técnicas que permitem aceder aos botnets.
 
O objetivo destas campanhas também mudou. Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance. Isto deve-se ao facto de a encriptação de um servidor de ficheiros de uma organização causar mais prejuízo à empresa, do que a encriptação de um dispositivo para uso pessoal.

À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, assiste-se também a uma evolução do ransomware relativamente a ataques mais sofisticados e efetivos, através dos quais vários ficheiros são infetados simultaneamente. Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estão a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objetivo entrar nos ambientes de trabalho das vítimas.
 
Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adotar ferramentas para encontrar e explorar relações utilizador/grupo/administrador mal configuradas. As configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os ativos mais críticos e encriptá-los.

Já não são enviados e-mails em massa, ao invés, os cibercriminosos sabem exatamente para onde direcionam os seus ataques e infetam ativos críticos, de forma simultânea.


A etapa seguinte do ransomware: o uso de botnets
 
De acordo com a Check Point, a evolução natural do ransomware deverá estar associada à utilização de botnets. Uma botnet é uma rede constituída por um grande número de dispositivos informáticos que tenham sido “sequestrados”, através do uso de malware, e cujos recursos possam ser utilizados por terceiros. Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware de forma massiva. Esta é, nos dias de hoje, considerada uma das maiores ameaças da internet.
 
A tática de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para proliferar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.
 
Normalmente o vetor de ataque é um e-mail de phishing com ficheiros maliciosos. Os técnicos especialistas da Check Point salientam que as táticas de implementação de ransomeware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer.

Recomendado pelos leitores

Microsoft pode estar em incumprimento com o RGPD
SEGURANÇA

Microsoft pode estar em incumprimento com o RGPD

LER MAIS

WatchGuard apresenta previsões de segurança para 2019
SEGURANÇA

WatchGuard apresenta previsões de segurança para 2019

LER MAIS

Samsung Knox recebe certificação do Gabinete Nacional de Segurança
SEGURANÇA

Samsung Knox recebe certificação do Gabinete Nacional de Segurança

LER MAIS

IT CHANNEL Nº 53 Dezembro 2018

IT CHANNEL Nº 53 Dezembro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.