A Check Point Research analisou 17 mil amostras relacionadas ao Azov, os especialistas identificaram duas versões de “Azov ransomware”
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, divulga a primeira análise técnica do Azov Ransomware, provando que se trata de um limpador avançado (um Wiper malware ou “malware limpador” que visa destruir ou apagar completamente todos os dados do computador ou da rede alvo) e não um ransomware.
O malware é projetado de forma a reescrever arquivos até um ponto irreconhecível e destruir inteiramente o sistema comprometido em que é executado.
Em outubro deste ano, um atacante começou a distribuir o Azov Ransomware por meio de programas “crackeados” e software pirata que fingia criptografar os arquivos das vítimas.
A CPR sinaliza uma mudança preocupante em direção a malwares sofisticados concebidos para destruir o sistema comprometido e orienta as organizações a tomarem as medidas apropriadas de cibersegurança.
Há mais de cinco anos, o ataque do WannaCry mudou a cibersegurança. Sua influência descomunal no cenário de ameaças cibernéticas foi notável e foi o primeiro ataque cibernético multivetorial em escala global na forma de um ataque criptografando, acima de tudo, os arquivos de uma máquina comprometida tornando-a inutilizável, embora reversível.
Desde então, os ataques de ransomware cresceram em volume e formas, evoluindo para diferentes métodos e táticas.
“O Azov não é um ransomware. Na verdade, é um limpador muito avançado e bem escrito, minuciosamente projetado para destruir o sistema comprometido em que é executado. Conduzimos a primeira análise profunda do malware, provando sua verdadeira identidade de Wiper. Uma coisa que diferencia o Azov de seus limpadores comuns é a modificação de certos executáveis de 64 bits para executar seu próprio código. A modificação de executáveis é feita usando código polimórfico, para não ser potencialmente frustrado por assinaturas estáticas. O malware usa o botnet SmokeLoader e programas ‘trojanizados’ para se espalhar. Este é um dos malwares mais sérios e perigosos para se ter cuidado, pois é capaz de tornar o sistema e os arquivos irrecuperáveis”, explica Eli Smadja, head de pesquisas na Check Point Software.
Embora ainda não tenha sido revelado qual é a motivação por trás das ações do atacante que distribui o Azov em estado selvagem, agora está claro que o Azov é um malware avançado projetado para destruir o sistema comprometido em que é executado.
Na análise da Check Point Research, os pesquisadores distinguiram duas versões diferentes do Azov, uma mais antiga e outra um pouco mais recente.
As versões compartilham a maior parte de seus recursos, mas a versão mais recente usa uma nota de resgate diferente, bem como uma extensão de arquivo diferente para os arquivos destruídos que ela cria:
Um ataque de ransomware bem-sucedido (e até mesmo de um Wiper) pode ser devastador para uma empresa.
As organizações pegas desprevenidas podem ter que escolher entre pagar pelo resgate ou cancelar totalmente os dados roubados.
Assim, as três dicas fundamentais de segurança para prevenir ataques de ransomware são:
– Fazer backup de seus dados
– Manter seus patches atualizados
– Fortalecer sua autenticação
No entanto, nunca é demais detalhar outras várias ações que uma empresa pode tomar para minimizar sua exposição e os possíveis impactos de um ataque de ransomware:
Backup de dados robusto
O objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. Entretanto, isso só é eficaz se o alvo realmente perder o acesso aos seus dados.
Uma solução robusta e segura de backup de dados é uma maneira eficaz de mitigar o impacto de um ataque de ransomware.
Se o backup dos sistemas for feito regularmente, os dados perdidos para um ataque de ransomware devem ser mínimos ou inexistentes.
No entanto, é importante garantir que a solução de backup de dados também não possa ser criptografada. Os dados devem ser armazenados em um formato somente leitura para evitar a propagação de ransomware para unidades que contenham dados de recuperação.
Treinamento de Conscientização Cibernética
Os e-mails de phishing são uma das formas mais populares de espalhar ransomware. Ao induzir um usuário a clicar em um link ou abrir um anexo malicioso, os cibercriminosos podem obter acesso ao computador do funcionário e iniciar o processo de instalação e execução do programa ransomware nele.
O treinamento frequente de conscientização sobre segurança cibernética é crucial para proteger a organização contra ransomware. Este treinamento deve instruir os funcionários a fazer o seguinte:
– Não clicar em links maliciosos
– Nunca abrir anexos inesperados ou não confiáveis
– Evitar revelar dados pessoais ou confidenciais a desconhecidos/atacantes
– Verificar a legitimidade do software antes de baixá-lo
– Nunca conectar um USB desconhecido em seu computador
– Usar uma VPN ao se conectar via Wi-Fi não confiável ou pública
Patches atualizados
Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
Fortalecimento da autenticação do usuário
Os cibercriminosos costumam usar o Remote Desktop Protocol (RDP) e ferramentas semelhantes para obter acesso remoto aos sistemas de uma organização usando credenciais de login por suposição ou roubadas. Uma vez lá dentro, o atacante pode lançar o ransomware na máquina e executá-lo, criptografando os arquivos ali armazenados.
Esse potencial vetor de ataque pode ser fechado por meio do uso de autenticação de usuário forte. Aplicar uma política de senha forte, exigir o uso de autenticação de múltiplos fatores e educar os funcionários sobre ataques de phishing projetados para roubar credenciais de login são componentes críticos da estratégia de segurança cibernética de uma organização.
Soluções Anti-Ransomware
Embora as etapas anteriores de prevenção de ransomware possam ajudar a reduzir a exposição de uma organização a ameaças de ransomware, elas não fornecem proteção perfeita. Alguns operadores de ransomware usam e-mails de spear-phishing bem pesquisados e altamente direcionados como seu vetor de ataque. Esses e-mails podem enganar até mesmo o funcionário mais diligente, resultando em ransomware obtendo acesso aos sistemas internos de uma organização.
A proteção contra esse ransomware requer uma solução de segurança especializada. Para atingir seu objetivo, o ransomware deve executar certas ações anômalas, como abrir e criptografar um grande número de arquivos.
As soluções antiransomware monitoram programas em execução em um computador em busca de comportamentos suspeitos comumente exibidos por ransomware e, se esses comportamentos forem detectados, o programa pode tomar medidas para interromper a criptografia antes que mais danos possam ser causados.
Utilizar uma melhor prevenção contra ameaças
A maioria dos ataques de ransomware pode ser detectada e resolvida antes que seja tarde demais. Uma empresa precisa ter detecção e prevenção automatizadas de ameaças a fim de maximizar suas chances de proteção.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Acompanhe as redes sociais da Check Point Research via:
Blog
Twitter
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção.
A Check Point Software protege mais de 100.000 organizações de todos os portes.
Check Point Software anuncia solução nativa da nuvem para segurança de ambiente AWS
Check Point Software lança hub acelerador para startups de segurança cibernética
Check Point alerta para a existência de uma vulnerabilidade crítica no OpenSSL
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!