Novo ransomware ‘Elpaco’ direciona ações contra backup, alerta pesquisa

A ameaça deriva do ransomware Mimic e utiliza recursos avançados para criptografar arquivos e dificultar os esforços de recuperação

Compartilhar:

A Equipe Global de Resposta a Emergências da Kaspersky (GERT, do inglês Global Emergency Response Team) detectou uma nova variante do ransomware Mimic, com recursos de personalização avançados e capacidade para desativar mecanismos de segurança. Trata-se do “Elpaco”, capaz de interromper as operações de dispositivos, eliminar dados de backup e bloquear o acesso às ações de recuperação, deixando uma nota de extorsão para exigir o pagamento do resgate.

 

Os invasores conseguem se conectar via Remote Desktop Protocol (RDP, um protocolo que permite a um usuário se conectar a um computador de forma remota) ao servidor da vítima após um ataque de força bruta bem-sucedido, para então executar o ransomware. Após a execução, o “Elpaco” implementa uma série de ferramentas maliciosas e utilitários legítimos, o que lhe permite desativar as defesas do sistema, criptografar arquivos e realizar ações para garantir a persistência. Também criptografa arquivos críticos em unidades locais e de rede, deixando uma nota de resgate para a vítima.

 

Esta variante do Mimic é um programa muito avançado que ataca sistemas Windows e utiliza uma combinação de ferramentas maliciosas e programas legítimos para tomar controle do equipamento afetado. Começa com um arquivo autoextrator, que contém várias ferramentas, incluindo um utilitário de busca de arquivos que parece inofensivo, mas, na realidade, ajuda o malware a encontrar arquivos importantes mais rapidamente. Em seguida, desativa as proteções de segurança do sistema, como o Windows Defender e começa a criptografar os arquivos importantes, tanto no computador quanto nos compartilhamentos de rede conectados.

 

A ameaça é significativa tanto para indivíduos quanto para empresas, capaz de esquivar-se da detecção e dificultar os esforços de recuperação. O GERT da Kaspersky detectou essa variante do Mimic nos Estados Unidos, Rússia, Países Baixos, Alemanha e França. No entanto, sua presença vai além, com casos identificados também no Canadá, Romênia, Coreia do Sul e outros países.

 

“O ransomware ELPACO assegura sua operação contínua por meio de mecanismos persistentes, modificações no registro e táticas contra a detecção. Seu enfoque específico em criptografar dados essenciais do usuário, deixando intactos arquivos críticos do sistema, garante que o dispositivo da vítima continue funcional, facilitando o pagamento do resgate. Para combater ameaças tão sofisticadas, as organizações devem implementar defesas robustas, incluindo a detecção em endpoints, monitoramento avançado de comportamento e backups regulares para mitigar o impacto desses ataques”, comenta Cristian Souza, Especialista em Resposta a Incidentes do Global Emergency Response Team (GERT) da Kaspersky no Brasil.

 

Para que as empresas possam se proteger desse tipo de ameaça, os especialistas da Kaspersky recomendam:

 

Atualizar sistemas operacionais, aplicativos e o software de segurança com patches periódicos para mitigar as vulnerabilidades que frequentemente são exploradas pelas ciberameaças.

 

Capacitar seus funcionários para serem capazes de identificar as táticas de engenharia social que buscam enganá-los para executarem arquivos maliciosos que permitem o acesso à rede das empresas.

 

Implementar backups periódicos de dados e sistemas críticos para minimizar o impacto dos ataques de ransomware ou a perda de dados resultante de infecções por malware.

 

Implementar soluções de segurança para endpoints equipadas com capacidades avançadas de detecção e prevenção de ameaças para identificar e interromper eficazmente atividades maliciosas.

 

Acessar constantemente informações de Inteligência de Ameaças necessárias para obter informações críticas que permitam a proteção contra ciberameaças, identificar e prevenir os riscos de forma proativa e melhorar a resposta a incidentes.

 

Conteúdos Relacionados

Security Report | Overview

Cibercrime ameaça mais de meio milhão de Smart TVs globalmente, alerta estudo

ISH Tecnologia explica como expansão dos dispositivos IoT abriu porta de entrada silenciosa para golpes – expectativa é que número...
Security Report | Overview

PMEs extrapolam seus budgets de SI em 50% para se recuperar de ciberataques

Relatório da Kaspersky revela que essas organizações investiram cerca de US$ 300 mil para remediar incidentes
Security Report | Overview

Novas brechas críticas são encontradas em Chrome, Google Ads e provedoras de TI

Em relatório recente, a Redbelt Security também alertou sobre uma campanha de ataque cibernético chamada Operação 99, na qual hackers...
Security Report | Overview

Deepfake com marcas de empresas aumentaram 335% no segundo semestre de 2024

Relatório da ESET contempla ataques globais entre junho e novembro e ainda destaca o avanço do ransomware e o roubo...