A Trend Micro detectou novas amostras do ransomware Dharma – um velho conhecido do mercado de cibersegurança – utilizando uma nova técnica: o uso de software de instalação de um antivírus como uma distração para ajudar a esconder atividades maliciosas.
Novas amostras do ransomware indicam que ele ainda é distribuído por e-mail spam. Caso o usuário clique no link de instalação, será pedida uma senha (fornecida no corpo do e-mail) antes de conseguir o arquivo. O arquivo de download é um arquivo que traz o arquivo malicioso e também o instalador de uma versão antiga do “ESET Antivírus Remover” renomeado como Defender_nt32_enu.exe. O ransomware usa esse instalador ESET AV Remover antigo, que aparenta ser um software padrão, para distrair a atenção enquanto ele encripta os arquivos do computador da vítima.
É importante notar que o malware funciona em uma instância diferente que a instalação do software, então seus comportamentos não estão relacionados. Por isso, o ransomware vai encriptar arquivos mesmo que a instalação do ESET AV Remover não seja iniciada. Suas atuações são independentes. O ransomware vai funcionar mesmo que a ferramenta de instalação não seja iniciada, e a ferramenta pode ser instalada mesmo que o ransomware não funcione. O processo de instalação serve apenas para enganar os usuários de que nenhuma atividade maliciosa está acontecendo.
Segundo os pesquisadores da Trend Micro, os cibercriminosos tem um histórico de se aproveitar de ferramentas autênticas, e essa tática Dharma recente de usar um instalador como uma distração ou prova de legitimidade é simplesmente um outro método com o qual estão experimentando.
O ransomware Dharma não é novo e existe desde 2016. Um ataque que chamou muita atenção ocorreu em novembro de 2018, quando um ransomware infectou um hospital no Texas, EUA, encriptando muitos de seus relatórios salvos. Por sorte, o hospital foi capaz de se recuperar do ataque sem precisar pagar o valor de resgate.
Como se defender contra ransomware
Há uma crescente conscientização sobre ransomware e também soluções melhoradas para usuários e organizações, o que contribui para o declínio contínuo do ransomware. Porém, como provado pelas amostras do Dharma, muitos agentes maliciosos continuam tentando aprimorar ameaças antigas e usar novas técnicas.
Usuários e organizações devem se preparar para o Dharma e ataques similares adotando boas táticas de cibersegurança. A Trend Micro levantou algumas das melhores práticas:
- Proteger e-mail gateways contra ameaças por spam e evitar abrir e-mails suspeitos;
- Fazer backup dos arquivos regularmente;
- Manter sistemas e aplicativos atualizados;
- Criar uma cultura de segurança no local de trabalho;
- Aplicar ferramentas de gerenciamento de sistemas que os invasores poderiam abusar; implementar segmentação de rede e categorização de dados para minimizar a exposição adicional de dados críticos
- Desabilitar componentes de terceiros ou desatualizados que possam ser usados como brecha;
- Implemente a defesa em profundidade: camadas adicionais de segurança, como controle de aplicativos e monitoramento de comportamento, ajudam a impedir modificações indesejadas no sistema ou a execução de arquivos corrompidos e suspeitos.
