Recentemente, um dos ransomware mais perigosos, o WastedLocker, deve seu sucesso a um mecanismo exclusivo de desvio para soluções de segurança e ferramentas que bloqueiam ransomware.
Inicialmente, o WastedLocker apareceu este ano em maio e faz parte do arsenal do famoso grupo cibercriminoso Evil Corp, também conhecido como Dridex.
Ele foi usado no dramático ataque à Garmin, que supostamente pagou à Evil Corp US$ 10 milhões por uma ferramenta ou chave de descriptografia de arquivos. Este é um dos incidentes mais recentes em um número crescente de ataques de ransomware contra grandes organizações.
Além disso, os pesquisadores de segurança da Sophos brevemente analisado WastedLocker e descobriu que ele usa ferramentas complementares para evitar a detecção.
Truque de memória
Os criadores do WastedLocker conceberam uma sequência de táticas para agitar soluções anti-ransomware baseadas em comportamento. Muitas famílias de ransomware usam ofuscação de código para evitar a detecção, mas os criadores do WastedLocker adicionaram outra camada de proteção a ele.
À medida que o WastedLocker interage com o Windows A API funciona diretamente da memória, onde as ferramentas de detecção de ransomware baseadas em comportamento não conseguem abusar Windows para lançar-se. Aqui, para escapar das ferramentas de segurança, o WastedLocker criptografa os arquivos no sistema comprometido usando E/S mapeada em memória.
Este método permite que o ransomware criptografe de forma transparente documentos armazenados em cache na memória sem causar E/S adicional no disco. Quando a ferramenta de segurança detecta a infecção, é tarde demais para fazer qualquer coisa ou tomar outras medidas para desativá-la.
Os primeiros sinais de um ataque são os arquivos já criptografados e uma nota de resgate. Se os invasores conseguirem obter credenciais de administrador, poderão conectar-se facilmente à VPN ou desativar as ferramentas de segurança instaladas nos sistemas afetados.
Evolução do código
- Abuso de fluxos de dados alternativos (ADS)
- Método de resolução de API personalizado
- Desvio do UAC
- Métodos de criptografia
- Composição da nota de resgate
- Estilo semelhante de argumentos de linha de comando
Além disso, na ausência de autenticação de dois fatores, os atores da ameaça podem facilmente fazer login em RDP, VPN e painéis de administração. Portanto, para evitar esses tipos de ameaças cibernéticas, você deve sempre manter o sistema operacional do seu sistema atualizado, usar uma VPN, uma solução de segurança confiável e uma solução confiável de backup de dados.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
Os usuários são aconselhados a ler o Lista de verificação anti-ransomware e Resposta ao ataque de ransomware Lista de controle
