WastedLocker: uma variante de ransomware complexa que visa grandes corporações
Ransomware é um tipo de software malicioso projetado para bloquear arquivos em um computador ou sistema até que o resgate seja pago. Um dos primeiros ransomwares documentados foi o PC Cyborg 1989 – ele exigia um pagamento de resgate de US $ 189 para descriptografar arquivos bloqueados.
A tecnologia da computação percorreu um longo caminho desde 1989, e o ransomware evoluiu junto com ela, levando a variantes complexas e potentes como o WastedLocker. Então, como o WastedLocker funciona? Quem foi afetado por isso? E como você pode proteger seus dispositivos?
O que é WastedLocker e como funciona?
Descoberto pela primeira vez no início de 2020, o WastedLocker é operado pelo notório grupo de hackers Evil Corp , também conhecido como INDRIK SPIDER ou gangue Dridex, e muito provavelmente tem ligações com agências de inteligência russas.
O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos Estados Unidos emitiu sanções contra a Evil Corp em 2019 e o Departamento de Justiça indiciou seu suposto líder Maksim Yakubets, o que forçou o grupo a mudar de tática.
Ataques WastedLocker normalmente começam com SocGholish, um cavalo de Troia de acesso remoto (RAT) que se faz passar por atualizações do navegador e do Flash para enganar o alvo e fazer o download de arquivos maliciosos.
Uma vez que o alvo baixa a atualização falsa, o WastedLocker criptografa efetivamente todos os arquivos em seu computador e os acrescenta "desperdiçados", o que parece ser uma referência aos memes da internet inspirados na série de videogame Grand Theft Auto.
Portanto, por exemplo, um arquivo originalmente denominado "muo.docx" apareceria como "muo.docx.wasted" em uma máquina comprometida.
Para bloquear arquivos, o WastedLocker usa uma combinação de algoritmos de criptografia Advanced Encryption Standard (AES) e Rivest-Shamir-Adleman (RSA), o que torna a descriptografia virtualmente impossível sem a chave privada da Evil Corp.
O algoritmo de criptografia AES é usado por instituições financeiras e governos – a National Security Agency (NSA), por exemplo, o usa para proteger informações ultrassecretas.
Nomeado em homenagem a três cientistas do Massachusetts Institute of Technology (MIT) que o descreveram publicamente pela primeira vez na década de 1970, o algoritmo de criptografia RSA é consideravelmente mais lento do que o AES e usado principalmente para criptografar pequenas quantidades de dados.
O WastedLocker deixa uma nota de resgate para cada arquivo que criptografa e direciona a vítima a entrar em contato com os atacantes. A mensagem normalmente contém um endereço de e-mail Protonmail, Eclipso ou Tutanota.
As notas de resgate são geralmente personalizadas, mencionam a organização-alvo pelo nome e alertam contra o contato com as autoridades ou o compartilhamento dos e-mails de contato com terceiros.
Projetado para atingir grandes empresas, o malware geralmente exige pagamentos de resgate de até US $ 10 milhões.
Ataques de alto perfil do WastedLocker
Em junho de 2020, a Symantec descobriu 31 ataques WastedLocker contra empresas sediadas nos Estados Unidos. A grande maioria das organizações visadas eram grandes nomes familiares e 11 eram empresas Fortune 500.
O ransomware tinha como alvo empresas de vários setores, incluindo manufatura, tecnologia da informação e mídia e telecomunicações.
A Evil Corp violou as redes das empresas visadas, mas a Symantec conseguiu impedir que os hackers implantassem o WastedLocker e guardassem os dados para resgate.
O número total real de ataques pode ser muito maior porque o ransomware foi implantado em dezenas de sites de notícias populares e legítimos.
Desnecessário dizer que empresas que valem bilhões de dólares têm proteção de primeira linha, o que diz muito sobre o quão perigoso é o WastedLocker.
Naquele mesmo verão, a Evil Corp implantou o WastedLocker contra a empresa americana de GPS e rastreadores de condicionamento físico Garmin, que estima uma receita anual de mais de US $ 4 bilhões.
Como a empresa israelense de segurança cibernética Votiro observou na época, o ataque paralisou a Garmin. Isso interrompeu muitos dos serviços da empresa e até afetou os call centers e algumas linhas de produção na Ásia.
A Garmin supostamente pagou um resgate de US $ 10 milhões para recuperar o acesso a seus sistemas. A empresa levou dias para colocar seus serviços em funcionamento, o que provavelmente causou enormes perdas financeiras.
Embora a Garmin aparentemente ache que pagar o resgate seja a melhor e mais eficiente maneira de lidar com a situação, é importante observar que nunca se deve confiar nos cibercriminosos – às vezes, eles não têm incentivo para fornecer uma chave de descriptografia depois de receber o pagamento do resgate.
Geralmente, a melhor ação no caso de um ataque cibernético é entrar em contato imediatamente com as autoridades.
Além disso, governos em todo o mundo impõem sanções contra grupos de hackers e, às vezes, essas sanções também se aplicam a indivíduos que enviam ou facilitam o pagamento de um resgate, portanto, também há riscos legais a serem considerados.
O que é Hades Variant Ransomware?
Em dezembro de 2020, pesquisadores de segurança descobriram uma nova variante de ransomware chamada Hades (não deve ser confundida com o Locker Hades 2016, que geralmente é implantado por e-mail na forma de um anexo do MS Word).
Uma análise do CrowdStrike descobriu que o Hades é essencialmente uma variante compilada de 64 bits do WastedLocker, mas identificou várias diferenças importantes entre essas duas ameaças de malware.
Por exemplo, ao contrário do WastedLocker, Hades não deixa uma nota de resgate para cada arquivo que criptografa – ele cria uma única nota de resgate. E armazena as principais informações em arquivos criptografados, em vez de armazená-las na nota de resgate.
A variante Hades não deixa informações de contato; em vez disso, ele direciona as vítimas para um site Tor, que é personalizado para cada alvo. O site Tor permite que a vítima descriptografe um arquivo gratuitamente, o que evidentemente é uma maneira da Evil Corp demonstrar que suas ferramentas de descriptografia realmente funcionam.
Hades tem como alvo principal grandes organizações com base nos Estados Unidos com receitas anuais superiores a US $ 1 bilhão, e sua implantação marcou mais uma tentativa criativa da Evil Corp de reformular a marca e fugir das sanções.
Como se Proteger Contra WastedLocker
Com o aumento dos ataques cibernéticos, o investimento em ferramentas de proteção de ransomware é uma necessidade absoluta. Também é fundamental manter o software atualizado em todos os dispositivos para evitar que os cibercriminosos explorem vulnerabilidades conhecidas.
Variantes sofisticadas de ransomware, como WastedLocker e Hades, têm a capacidade de se mover lateralmente, o que significa que podem obter acesso a todos os dados em uma rede, incluindo armazenamento em nuvem. É por isso que manter um backup offline é a melhor maneira de proteger dados importantes contra invasores.
Uma vez que os funcionários são a causa mais comum de violações, as organizações devem investir tempo e recursos na educação da equipe sobre as práticas básicas de segurança.
Em última análise, implementar um modelo de segurança Zero Trust é indiscutivelmente a melhor maneira de garantir que uma organização esteja protegida contra ataques cibernéticos, incluindo aqueles travados pela Evil Corp e outros grupos de hackers patrocinados pelo estado.
