A Check Point Software Technologies Ltd alerta para a rápida transformação do ransomware a que se tem assistido nos últimos anos.
Antes, os cibercriminosos enviavam e-mails de phishing para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitectura do malware, com o objectivo de aumentar o grau de precisão e as técnicas que permitem aceder às botnets. O objectivo destas campanhas também mudou.
Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance.
À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, também assiste-se a uma evolução do ransomware relativamente a ataques mais sofisticados através dos quais vários ficheiros são infectados simultaneamente.
Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estão a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objectivo de entrar nos ambientes de trabalho das vítimas.
Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adoptar ferramentas para encontrar e explorar relações utilizador/ grupo/ administrador mal configuradas.
A Check Point refere que as configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os activos mais críticos e encriptá-los.
Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware. A táctica de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para espalhar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.
Normalmente o vector de ataque é um e-mail de phishing com ficheiros maliciosos. Os especialistas da Check Point salientam que as tácticas de implementação de ransomware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer.
Com o tempo serão utilizados outros bots, mas a forma efectiva de espalhar malware, torna-os numa opção muito atractiva para os cibercriminosos.
Via Check Point Software Technologies Ltd.
