Há poucos anos, os ataques eram dirigidos a qualquer utilizador final. Atualmente o ransomware tem a capacidade de encriptar os recursos das redes corporativas, multiplicando, assim o seu poder e alcance. Por isso, a Check Point alerta para a rápida transformação do ransomware, a que se tem assistido nos últimos anos. Antes, os cibercriminosos enviavam e-mails de phishing para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitetura do malware, com o objetivo de aumentar o grau de precisão e as técnicas que permitem aceder aos botnets.
O objetivo destas campanhas também mudou. Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance. A capacidade para encriptar o servidor de ficheiros de uma organização, causa mais prejuízo à empresa, do que a encriptação de um dispositivo para uso pessoal, quer seja móvel, USB.
Aumentar a precisão dos ataques
À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, também assiste-se a uma evolução do ransomware relativamente a ataques mais sofisticados e efetivos, através dos quais vários ficheiros são infetados simultaneamente. Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estam a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objetivo entrar nos ambientes de trabalho das vítimas.
Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adotar ferramentas para encontrar e explorar relações utilizador/grupo/administrador mal configuradas. As configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os ativos mais críticos e encriptá-los.
Já não são enviados e-mails em massa, ao invés, os cibercriminosos sabem exactamente para onde direcionam os seus ataques e infetam ativos críticos, de forma simultânea.
A etapa seguinte do ransomware: o uso de botnets
Uma botnet é uma rede constituída por um grande número de dispositivos informáticos que tenham sido “sequestrados”, através do uso de malware, e cujos recursos possam ser utilizados por terceiros. Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware de forma massiva. Esta é, nos dias de hoje, considerada uma das maiores ameaças da internet.
A tática de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para proliferar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.
Normalmente o vetor de ataque é um e-mail de phishing com ficheiros maliciosos. Os técnicos especialistas da Check Point salientam que as táticas de implementação de ransomeware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer.
Com o tempo serão utilizados outros bots, mas a forma simples e efectiva de espalhar malware, torna-os numa opção muito atrativa para os cibercriminosos.
