Cibercriminosos apostam em ransomware escondido em antivírus 

Alerta da Trend Micro revela que o ransomware Dharma é identificado em falsa instalação do “ESET Antivírus Remover” encriptando artigos da vítima sem levantar suspeitas

Compartilhar:

A Trend Micro detectou novas amostras do ransomware Dharma – um velho conhecido do mercado de cibersegurança – utilizando uma nova técnica: o uso de software de instalação de um antivírus como uma distração para ajudar a esconder atividades maliciosas.

Novas amostras do ransomware indicam que ele ainda é distribuído por e-mail spam. Caso o usuário clique no link de instalação, será pedida uma senha (fornecida no corpo do e-mail) antes de conseguir o arquivo. O arquivo de download é um arquivo que traz o arquivo malicioso e também o instalador de uma versão antiga do “ESET Antivírus Remover” renomeado como Defender_nt32_enu.exe. O ransomware usa esse instalador ESET AV Remover antigo, que aparenta ser um software padrão, para distrair a atenção enquanto ele encripta os arquivos do computador da vítima.

É importante notar que o malware funciona em uma instância diferente que a instalação do software, então seus comportamentos não estão relacionados. Por isso, o ransomware vai encriptar arquivos mesmo que a instalação do ESET AV Remover não seja iniciada. Suas atuações são independentes. O ransomware vai funcionar mesmo que a ferramenta de instalação não seja iniciada, e a ferramenta pode ser instalada mesmo que o ransomware não funcione. O processo de instalação serve apenas para enganar os usuários de que nenhuma atividade maliciosa está acontecendo.

Segundo os pesquisadores da Trend Micro, os cibercriminosos tem um histórico de se aproveitar de ferramentas autênticas, e essa tática Dharma recente de usar um instalador como uma distração ou prova de legitimidade é simplesmente um outro método com o qual estão experimentando.

O ransomware Dharma não é novo e existe desde 2016. Um ataque que chamou muita atenção ocorreu em novembro de 2018, quando um ransomware infectou um hospital no Texas, EUA, encriptando muitos de seus relatórios salvos. Por sorte, o hospital foi capaz de se recuperar do ataque sem precisar pagar o valor de resgate.


Como se defender contra ransomware

Há uma crescente conscientização sobre ransomware e também soluções melhoradas para usuários e organizações, o que contribui para o declínio contínuo do ransomware. Porém, como provado pelas amostras do Dharma, muitos agentes maliciosos continuam tentando aprimorar ameaças antigas e usar novas técnicas.

Usuários e organizações devem se preparar para o Dharma e ataques similares adotando boas táticas de cibersegurança. A Trend Micro levantou algumas das melhores práticas:

  • Proteger e-mail gateways contra ameaças por spam e evitar abrir e-mails suspeitos;
  • Fazer backup dos arquivos regularmente;
  • Manter sistemas e aplicativos atualizados;
  • Criar uma cultura de segurança no local de trabalho;
  • Aplicar ferramentas de gerenciamento de sistemas que os invasores poderiam abusar; implementar segmentação de rede e categorização de dados para minimizar a exposição adicional de dados críticos
  • Desabilitar componentes de terceiros ou desatualizados que possam ser usados como brecha;
  • Implemente a defesa em profundidade: camadas adicionais de segurança, como controle de aplicativos e monitoramento de comportamento, ajudam a impedir modificações indesejadas no sistema ou a execução de arquivos corrompidos e suspeitos.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...
Security Report | Destaques

Integração da Cibersegurança: como superar o desafio de proteger IT, OT e IoT?

Diante da demanda do CISO em contar com uma proteção mais integrada em ambientes que se conectam, como TI, OT...