A Sophos publicou um novo relatório que analisa o ransomware Matrix. Este malware tem estado em operação desde 2016 e a Sophos detectou 96 amostras.
Tal como aconteceu com outros tipos anteriores de ransomware direccionado, incluindo o BitPaymer, o Dharma e o SamSam, os atacantes que utilizam o Matrix têm estado a infiltrar-se nas redes e a infectar computadores através do Remote Desktop Protocol (RDP), uma ferramenta de acesso remoto integrada nos computadores Windows.
No entanto, ao contrário de outros ransomware, o Matrix infecta apenas um único equipamento na rede, em vez de se propagar amplamente por toda a organização.
Os criminosos que criaram o Matrix fizeram evoluir os parâmetros dos ataques ao longo do tempo, adicionando um novo código e ficheiros que mobilizam diferentes tarefas e cargas na rede. As notas de resgate do Matrix encontram-se introduzidas no código de ataque, mas as vítimas não sabem quanto terão de pagar até entrarem em contacto com os atacantes.
Durante grande parte da existência do Matrix, os agressores utilizaram um serviço de mensagens anónimas protegido. Com a descontinuação deste serviço, os criminosos regressaram à utilização de contas de e-mail.
Os atacantes que utilizam o Matrix exigem o pagamento de um resgate em criptomoeda. Não é claro se esta exigência quanto ao resgate se trata de uma manobra deliberada de diversão, ou se resulta apenas de uma tentativa de navegar num cenário de taxas de câmbio de criptomoeda em forte flutuação.
O Matrix é um pouco como o “canivete suíço” do mundo do ransomware, pois apresenta novas variantes capazes de pesquisar e identificar potenciais vítimas depois de infectada a rede.
Apesar do volume da amostra ser reduzido, isto não torna esta ameaça menos perigosa, pelo contrário, o Matrix encontra-se em evolução e estão a surgir novas versões à medida que os criminosos aprendem com cada novo ataque.
A Sophos recomenda a restrição do acesso às aplicações de controlo remoto tais como o Remote Desktop (RDP) e VNC, e a verificação regular da vulnerabilidade e testes de segurança em toda a rede. A Sophos recomenda, ainda, a criação de sistemas de backup offline e offsite, bem como o desenvolvimento de um plano de recuperação em caso de desastre.
Via Sophos.