No mundo da cibersegurança, grande parte do tempo aos mais propícios casos extremos. No extremo da simplicidade, temos o mistério imortal de fazer coisas básicas, como “não clique no anexo de email”. Por outro lado, temos o enigma de como evitar danos colaterais nas mãos de ameaças complexas, organizadas e altamente evoluídas, patrocinadas pelo Estado.

Embora os extremos sejam sufixos, eles são diminuídos e separados por um mapa vasto e muito importante, onde a maior parte do trabalho importante acontece e, grande parte dele não é reconhecida.

Para a próxima geração de proteções em 2019 não foca apenas na interrupção de ameaças, mesmo sendo as mais perigosas e invisíveis do ano. É preciso parar também os “workhorses, schlubs e turkeys” deste ano, incluindo o catálogo completo das ameaças do ano passado. E os do ano anterior. E no ano anterior, e tudo mais entre isso e o começo da história do malware. HAHAHAHAHA

Em si, o malware é um enorme exército de especialistas em software mal-intencionados, “wallflowers e also-rans”. Eles podem não ser tão avançados quanto o Emotet ou tão explosivos quanto o WannaCry, mas eles são grandes monstros, e vão te destruir se permitir.

Um desses possíveis é o Matrix, uma forma de ransomware que é tão poderoso quanto o BitPaymer, Ryuk e GandCrab. Você provavelmente não vai encontrá-lo, mas se achar, pode considerar sua vida digital muito miserável, afinal não é todo dia que se encontra um ransomware como esse! No entanto, ficará feliz que pessoas como Luca Nagy da SophosLabs estavam prestando atenção a isso.

Em 2018, Luca apresentou uma extensa análise de Matrix no evento Blackhoodie de novembro.

Como BitPaymer e Ryuk, o Matrix é um ransomware “direcionado”. Em vez de chegar a um e-mail, como o Locky ou o GandCrab, ele é cortesia de um hacker, que invade sua rede e coloca o Matrix no maior número possível de computadores vulneráveis.

Por quê? Porque as pessoas pagam. Um ataque guiado de Ryuk pode arrecadar mais de $ 100.000 de uma única vítima.

Em um ataque direcionado, um hacker pode conseguir:

-Obtém entrada na rede da vítima.
-Encaminha seus privilégios até que eles sejam administradores.
-Usa seus poderosos direitos de acesso para superar o software de segurança.
-Distribui e executa o ransomware que criptografa os arquivos da vítima.
-Deixa uma nota exigindo pagamento em troca de descriptografar os arquivos.
-Espera que a vítima entre em contato com eles por e-mail ou um site da web escuro.

Um dos recursos exclusivos do ransomware direcionado é a convergência do campo em um conjunto padrão de ferramentas e táticas.

O Matrix surgiu em 2016, no início da era de ransomware direcionado. Ele foi aprimorado constantemente e os métodos usados por seus operadores também evoluíram. Táticas que eram incomuns, ou que tornavam a Matrix um pouco diferente, foram ignoradas por um modelo comum, com quase todos os ransomwares direcionados.

Por exemplo, o malware desistiu do uso de um kit de exploração para ganhar uma posição na rede da vítima, em favor da tática quase universal de explorar credenciais fracas do RDP.

Até recentemente, as vítimas eram instruídas a contatar as operadoras de malware usando um serviço de mensagens instantâneas. Como o serviço de mensagens desapareceu em dezembro de 2018, os invasores mudaram, como muitos outros tipos de ransomware direcionados, para simplesmente usar o email.

Versões anteriores do malware também continham uma “nota de resgate” que tentava convencer as vítimas a acreditar que seus arquivos haviam sido bloqueados pelo FBI. A famosa engenharia social usada, desde então, deu lugar a uma longa e mais fatal nota de resgate, que é a parte de ameaças, arquivos de ajuda, e que poderia facilmente ter vindo do SamSam ou do BitPaymer.

A convergência de táticas de ransomware direcionadas é evidenciada pelo Manual do SophosLabs Targeted Ransomware, reproduzida abaixo, que compara cinco tipos de ransomware bem conhecido e os contrasta com o GandCrab, uma das variedades mais populares do “Ransomware ‑ as ‑ a ‑ Service (Raas)”.

Você pode ler mais sobre o ransomware mencionado nesta tabela em nossos artigos sobre SamSam, Ryuk, BitPaymer e o aumento do ransomware direcionado.

Entrando na Matrix

Os hackers por trás do “ransomware-target” visam fazer o esforço extra que dedicam à entrega de seu malware na forma de resgates mais altos. Ao direcionar seu software para partes sensíveis (ou até mesmo todas as partes) da rede da vítima, elas esperam causar danos incapacitantes a toda a organização.

Considerando que um ransomware fire-and-forget como Locky ou WannaCry cobrará uma taxa fixa, o ransomware direcionado abre a porta para que os bandidos variem suas demandas e ofereçam “ofertas” às vítimas. Alguns atacantes se oferecem para descriptografar alguns computadores de graça, para provar que podem. Outros oferecerão faixas de preço diferentes para decifrar diferentes números de computadores, e os preços podem variar para cima e para baixo dependendo do que os invasores acham que podem fazer, da rapidez com que as vítimas pagam e assim por diante.

De maneira incomum, a nota de resgate do Matrix não diz às vítimas quanto elas precisarão pagar. Para descobrir isso, as vítimas têm que entrar em contato com os bandidos usando um número de endereços de e-mail.

Como parte de sua pesquisa, Luca postou como uma vítima do ransomware e comunicou, brevemente, com seus operadores. O primeiro e-mail tenta remover toda a esperança para a vítima, assegurando-a da força da criptografia usada no ataque:

O próximo email inclui o preço. Os bandidos aumentam a engenharia social com incentivos de preço para pagamento antecipado, ameaças, limites de tempo e desdém por “perguntas estúpidas”. Excepcionalmente, o preço é listado em dólares dos EUA em vez de Bitcoin, talvez em uma tentativa de isolar os vigaristas das flutuações dos preços do Bitcoin.

Claro, Luca não estava disposto a pagar um resgate, então os criminosos ficam imaginando o que fazer com uma vítima que não é intimidada por suas ameaças e não parece se importar em restaurar seus arquivos.

O que acontece a seguir mostra o que qualquer pessoa boa sabe: se você consegue convencer a pessoa com quem está falando que não quer comprar o que está vendendo, o preço cai.

O que fazer?

As semelhanças entre os ataques de ransomware direcionados dão aos defensores uma vantagem: a mesma diligência e as precauções necessárias para impedir um ataque de uma forma de ransomware direcionado são as mesmas que as necessárias para impedir qualquer outro. Você pode ler mais sobre essas precauções no artigo Como se defender contra o SamSam ransomware.

O Sophos Endpoint e o Intercept X podem bloquear o Matrix e detectá-lo e seus componentes como Troj / Matrix- *.

Você pode ler muito mais sobre a exaustiva dissecação de Matrix de Luca em seu artigo de pesquisa Matrix: um ransomware direcionado e discreto.

Descubra mais no blog de notícias naked Security da Sophos.

Matrix: o que um ransomware de nicho pode nos ensinar

Entrando na Matrix

O que fazer?

Relacionado

1 comment

Gerenciador de senhas vazam dados na memória | SdRedes

Deixe uma resposta Cancelar resposta

CATEGORIAS

ÚLTIMAS NOTÍCIAS

Programador belga resolve quebra-cabeça de criptografia – 15 anos cedo demais!

Criminosos estão se escondendo no Telegram – mas backdoors não são a resposta

Mantendo seus dados seguros ao viajar

iLnkP2P: Milhões de dispositivos smarts de consumidores expostos por grave falha de segurança

Como fazer um controle fácil de diretivas de acesso