|
Tal como recorda a Check Point, enquanto tradicionalmente os cibercriminosos enviavam e-mails de phishing para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitetura do malware, com o objetivo de aumentar o grau de precisão e as técnicas que permitem aceder aos botnets.
O objetivo destas campanhas também mudou. Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance. Isto deve-se ao facto de a encriptação de um servidor de ficheiros de uma organização causar mais prejuízo à empresa, do que a encriptação de um dispositivo para uso pessoal.
À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, assiste-se também a uma evolução do ransomware relativamente a ataques mais sofisticados e efetivos, através dos quais vários ficheiros são infetados simultaneamente. Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estão a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objetivo entrar nos ambientes de trabalho das vítimas.
Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adotar ferramentas para encontrar e explorar relações utilizador/grupo/administrador mal configuradas. As configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os ativos mais críticos e encriptá-los.
Já não são enviados e-mails em massa, ao invés, os cibercriminosos sabem exatamente para onde direcionam os seus ataques e infetam ativos críticos, de forma simultânea.
A etapa seguinte do ransomware: o uso de botnets
De acordo com a Check Point, a evolução natural do ransomware deverá estar associada à utilização de botnets. Uma botnet é uma rede constituída por um grande número de dispositivos informáticos que tenham sido “sequestrados”, através do uso de malware, e cujos recursos possam ser utilizados por terceiros. Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware de forma massiva. Esta é, nos dias de hoje, considerada uma das maiores ameaças da internet.
A tática de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para proliferar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.
Normalmente o vetor de ataque é um e-mail de phishing com ficheiros maliciosos. Os técnicos especialistas da Check Point salientam que as táticas de implementação de ransomeware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer.
|
