É cada vez mais fácil construir e lançar um ransomware, independentemente de qualquer habilidade. Tudo que é necessário é má intenção e acesso à dark web – um mercado onde kits de malwares são vendidos como sapatos ou brinquedos na Amazon.
A tendência também é conhecida como ransomware as a service e alguns exemplos são tão afiados e perigosos quanto o Philadelphia.
Durante o Black Hat 2017, evento de tecnologia que apresenta as mais recentes pesquisas sobre o assunto, a Sophos lançou um relatório aprofundado intitulado “Ransomware as a Service (RaaS): descontruindo o Philadelphia”, escrito por Dorka Palotay, um pesquisador de ameaças baseado no escritório SophosLabs de Budapeste, Hungria. O estudo analisa profundamente os mecanismos internos de um ransomware kit que qualquer um pode comprar por U$ 400. Uma vez comprado, os cibercriminosos podem assumir o controle e armazenar dados do computador para pedir um resgate em troca de um pagamento.
Ao ar livre
Os criadores do kit RaaS, os Rainmakers Labs, executam seus negócios da mesma forma que uma legítima empresa de software faz para vender seus produtos e serviços. Enquanto vendem o Philadelphia em mercados escondidos na dark web, eles hospedam um vídeo de “introdução” no YouTube, com uma excelente qualidade de produção, explicando os componentes básicos do kit e como customizar o ransomware com uma variedade de opções. Um guia detalhado de ajuda, leva os clientes para baixar uma configuração disponível em um website .com.
Enquanto o ransomware as a service não é novidade, o brilhante marketing explícito no modelo “faça você mesmo um ataque ransomware” é.
“É surpreendentemente sofisticado o que os Rainmakers Labs estão tentando fazer aqui. Detalhes sobre o Philadelphia estão livres no World Wide Web (www) em comparação à dark web, onde a maioria dos outros ransomware kits são comercializados. Você não precisa de um navegador Tor para encontrar o Philadelphia e o fato de que ele é vendido descaradamente é, infelizmente, um indicativo do que está por vir”, diz Palotay.
Acompanhe as vítimas e (talvez) dê piedade
Além do marketing, o produto em si é avançado com diversas configurações que os compradores podem adaptar para melhor selecionar como eles vão atacar suas vítimas, incluindo opções de “Seguir as Vítimas no Google Maps” e “Ter Piedade”. Dicas de como construir uma campanha, configurar o centro de comando e controle e coletar dinheiro também são explicadas. Está tudo lá.
Ironicamente, o “Ter Piedade” não é uma característica que necessariamente ajuda as vítimas, mas sim auxilia os cibercriminosos a saírem de uma situação difícil.
“Para a maior parte, a opção de piedade é dar aos cibercriminosos uma “saída” caso estejam em uma posição arriscada depois de um ataque em particular”, diz Palotay. Ele também serve para casos de amigos de um atacante que se encontrem enrolados acidentalmente ou para os cibercriminosos testarem seus ataques.
A opção “Acompanhar as vítimas no Google Maps”, que parece assustadora, dá um indício de como os cibercriminosos determinam a demografia daqueles que eles enganam, o que poderia ajudá-los a repetir um ataque, corrigir um já realizado ou pedir ança com a opção “Piedade”.
Recurso extras por dinheiro extra
As opções “piedade” e “rastreamento do Google”, além de outros aspectos do Philadelphia, não são únicas para esse ransomware. No entanto, elas também não estão generalizadas. Esse são exemplos do que se tornou mais comum nos kits e, como resultado, mostrar como o ransomware-as-a-service está se tornando um mercado de software do mundo real.
“O fato de que o Philadelphia custa $400 e outros kits de ransomware são executados por $39 a $200 é notável”, diz Palotay. “Dentro desse valor, que é muito bom para o que os compradores do Philadelphia estão prometendo fazer, estão inclusas constantes atualizações e opções ilimitadas de personalização e acesso. É como um serviço de software atual que dá suporte aos clientes com atualizações regulares.”
O Philadelphia também tem o que é chamado de “ponte” – um script PHP que gerencia a comunicação entre os hackers e as vítimas, guardando informações sobre os ataques. Recursos adicionais que os compradores do Philadelphia podem customizar incluem o texto de resgate que aparecerá para as vítimas e sua cor, se a mensagem aparecer antes dos dados da vítima serem criptografados, e uma roleta russa, que deleta alguns arquivos depois de um período predeterminado. A roleta russa é comum em ransomware kits e é usada para colocar os usuários em pânico e os induzirem a pagar rapidamente ao excluir arquivos depois de determinadas horas.
As opções de personalização e “pontes” impulsionam o lucro e adicionam uma nova dimensão ao cibercrime que pode aumentar a velocidade da inovação do ransomware, comentou Palotay. Em outros casos de RaaS analisados pelo SophosLabs, as estratégias de preços passam por dividir uma porcentagem do resgate proveniente de vítimas com clientes de kit para a venda de assinaturas de acesso seguidas por ataques.
Código roubado
O relatório também revela que alguns cibercriminosos têm “crackeado” ou pirateado o Philadelphia e vendido suas próprias versões roubadas por um custo menor. Enquanto crackear não é novidade, a escala é interessante. Ameaças prontas que não requerem conhecimento dos cibercriminosos sobre o que eles estão fazendo, estão facilmente disponíveis para compra e em constante evolução. A expectativa da Sophos é de que essa tendência de aumentar as apostas e cometer fraude contra fraudadores continue.
“Não é incomum para cibercriminosos roubar código de outros ou ter como base versões antigas de outros ransomware, como nós vimos com o recente ataque NotPetya”, diz Palotay. “O ataque NotPetya combinou o Golden Eye, uma versão anterior do Petya, com a façanha do Eternal Blue para espalhar e infectar computadores globalmente.
Medidas defensivas
Para a melhor prática contra todo tipo de ransomware, a Sophos recomenda:
– Fazer um back up regularmente e manter a cópia mais recente fora do local de trabalho. Há dezenas de maneiras, além dos ransomwares, de arquivos desaparecerem rapidamente, tais como fogo, inundação, roubo, um computador derrubado ou até mesmo uma exclusão acidental. Criptografe seu back up e não terá que se preocupar com o dispositivo em mãos erradas.
- Não habilite macros nos documentos anexados recebidos por e-mail. A Microsoft desativou deliberadamente a execução automática de macros por negligência/padrão há muitos anos como medida de segurança. Muitas infecções de malware dependem de persuadir o usuário a ativar os macros novamente, então não faça isso!
- Seja cauteloso com arquivos anexos não solicitados. Os criminosos estão confiando no dilema de que você não deveria abrir um documento até ter certeza de que é o que deseja, mas você não pode dizer se o arquivo é realmente o que espera até abri-lo. Na dúvida, deixe para lá.
- Utilize o patch com antecedência e com frequência. O malware que não vem via documento macro geralmente depende de erros na segurança de aplicativos populares, como Office, seus browsers, Flash e outros. Quanto mais cedo você fizer o patch, menos buracos ficarão abertos para que criminosos possam explorar. No caso de um ataque, usuários querem ter certeza de que estão usando as versões mais atualizadas do PDF e Word.
- Use o Sophos Intercept X, capaz de parar um ransomware em seu caminho, bloqueando a criptografia não autorizada de arquivos.
- Experimente o Sophos Home para Windows e Mac de graça com a família e amigos.
Deixe uma resposta