Cibercriminosos apostam em ransomware escondido em antivírus 

Alerta da Trend Micro revela que o ransomware Dharma é identificado em falsa instalação do “ESET Antivírus Remover” encriptando artigos da vítima sem levantar suspeitas

Compartilhar:

A Trend Micro detectou novas amostras do ransomware Dharma – um velho conhecido do mercado de cibersegurança – utilizando uma nova técnica: o uso de software de instalação de um antivírus como uma distração para ajudar a esconder atividades maliciosas.

Novas amostras do ransomware indicam que ele ainda é distribuído por e-mail spam. Caso o usuário clique no link de instalação, será pedida uma senha (fornecida no corpo do e-mail) antes de conseguir o arquivo. O arquivo de download é um arquivo que traz o arquivo malicioso e também o instalador de uma versão antiga do “ESET Antivírus Remover” renomeado como Defender_nt32_enu.exe. O ransomware usa esse instalador ESET AV Remover antigo, que aparenta ser um software padrão, para distrair a atenção enquanto ele encripta os arquivos do computador da vítima.

É importante notar que o malware funciona em uma instância diferente que a instalação do software, então seus comportamentos não estão relacionados. Por isso, o ransomware vai encriptar arquivos mesmo que a instalação do ESET AV Remover não seja iniciada. Suas atuações são independentes. O ransomware vai funcionar mesmo que a ferramenta de instalação não seja iniciada, e a ferramenta pode ser instalada mesmo que o ransomware não funcione. O processo de instalação serve apenas para enganar os usuários de que nenhuma atividade maliciosa está acontecendo.

Segundo os pesquisadores da Trend Micro, os cibercriminosos tem um histórico de se aproveitar de ferramentas autênticas, e essa tática Dharma recente de usar um instalador como uma distração ou prova de legitimidade é simplesmente um outro método com o qual estão experimentando.

O ransomware Dharma não é novo e existe desde 2016. Um ataque que chamou muita atenção ocorreu em novembro de 2018, quando um ransomware infectou um hospital no Texas, EUA, encriptando muitos de seus relatórios salvos. Por sorte, o hospital foi capaz de se recuperar do ataque sem precisar pagar o valor de resgate.


Como se defender contra ransomware

Há uma crescente conscientização sobre ransomware e também soluções melhoradas para usuários e organizações, o que contribui para o declínio contínuo do ransomware. Porém, como provado pelas amostras do Dharma, muitos agentes maliciosos continuam tentando aprimorar ameaças antigas e usar novas técnicas.

Usuários e organizações devem se preparar para o Dharma e ataques similares adotando boas táticas de cibersegurança. A Trend Micro levantou algumas das melhores práticas:

  • Proteger e-mail gateways contra ameaças por spam e evitar abrir e-mails suspeitos;
  • Fazer backup dos arquivos regularmente;
  • Manter sistemas e aplicativos atualizados;
  • Criar uma cultura de segurança no local de trabalho;
  • Aplicar ferramentas de gerenciamento de sistemas que os invasores poderiam abusar; implementar segmentação de rede e categorização de dados para minimizar a exposição adicional de dados críticos
  • Desabilitar componentes de terceiros ou desatualizados que possam ser usados como brecha;
  • Implemente a defesa em profundidade: camadas adicionais de segurança, como controle de aplicativos e monitoramento de comportamento, ajudam a impedir modificações indesejadas no sistema ou a execução de arquivos corrompidos e suspeitos.

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...