A Equipe Global de Resposta a Emergências da Kaspersky (GERT, do inglês Global Emergency Response Team) detectou uma nova variante do ransomware Mimic, com recursos de personalização avançados e capacidade para desativar mecanismos de segurança. Trata-se do “Elpaco”, capaz de interromper as operações de dispositivos, eliminar dados de backup e bloquear o acesso às ações de recuperação, deixando uma nota de extorsão para exigir o pagamento do resgate.
Os invasores conseguem se conectar via Remote Desktop Protocol (RDP, um protocolo que permite a um usuário se conectar a um computador de forma remota) ao servidor da vítima após um ataque de força bruta bem-sucedido, para então executar o ransomware. Após a execução, o “Elpaco” implementa uma série de ferramentas maliciosas e utilitários legítimos, o que lhe permite desativar as defesas do sistema, criptografar arquivos e realizar ações para garantir a persistência. Também criptografa arquivos críticos em unidades locais e de rede, deixando uma nota de resgate para a vítima.
Esta variante do Mimic é um programa muito avançado que ataca sistemas Windows e utiliza uma combinação de ferramentas maliciosas e programas legítimos para tomar controle do equipamento afetado. Começa com um arquivo autoextrator, que contém várias ferramentas, incluindo um utilitário de busca de arquivos que parece inofensivo, mas, na realidade, ajuda o malware a encontrar arquivos importantes mais rapidamente. Em seguida, desativa as proteções de segurança do sistema, como o Windows Defender e começa a criptografar os arquivos importantes, tanto no computador quanto nos compartilhamentos de rede conectados.
A ameaça é significativa tanto para indivíduos quanto para empresas, capaz de esquivar-se da detecção e dificultar os esforços de recuperação. O GERT da Kaspersky detectou essa variante do Mimic nos Estados Unidos, Rússia, Países Baixos, Alemanha e França. No entanto, sua presença vai além, com casos identificados também no Canadá, Romênia, Coreia do Sul e outros países.
“O ransomware ELPACO assegura sua operação contínua por meio de mecanismos persistentes, modificações no registro e táticas contra a detecção. Seu enfoque específico em criptografar dados essenciais do usuário, deixando intactos arquivos críticos do sistema, garante que o dispositivo da vítima continue funcional, facilitando o pagamento do resgate. Para combater ameaças tão sofisticadas, as organizações devem implementar defesas robustas, incluindo a detecção em endpoints, monitoramento avançado de comportamento e backups regulares para mitigar o impacto desses ataques”, comenta Cristian Souza, Especialista em Resposta a Incidentes do Global Emergency Response Team (GERT) da Kaspersky no Brasil.
Para que as empresas possam se proteger desse tipo de ameaça, os especialistas da Kaspersky recomendam:
Atualizar sistemas operacionais, aplicativos e o software de segurança com patches periódicos para mitigar as vulnerabilidades que frequentemente são exploradas pelas ciberameaças.
Capacitar seus funcionários para serem capazes de identificar as táticas de engenharia social que buscam enganá-los para executarem arquivos maliciosos que permitem o acesso à rede das empresas.
Implementar backups periódicos de dados e sistemas críticos para minimizar o impacto dos ataques de ransomware ou a perda de dados resultante de infecções por malware.
Implementar soluções de segurança para endpoints equipadas com capacidades avançadas de detecção e prevenção de ameaças para identificar e interromper eficazmente atividades maliciosas.
Acessar constantemente informações de Inteligência de Ameaças necessárias para obter informações críticas que permitam a proteção contra ciberameaças, identificar e prevenir os riscos de forma proativa e melhorar a resposta a incidentes.
