Fonte: IBM Security – 16 de agosto de 2018
Os pesquisadores de segurança em engenharia reversa atualizaram o ransomware GandCrab e descobriram novos recursos que melhoram sua capacidade de evitar a detecção e impedir a análise pelas equipes de defesa.
Descoberto pela primeira vez em janeiro, o GandCrab é agora a ameaça mais poderosa de seu tipo, seja dirigida a uma única pessoa ou a uma empresa inteira, de acordo com um relatório de ameaças de 31 de julho da McAfee.
O GandCrab é semelhante aos seus pares, pois engana os usuários para instalá-los, bloqueia-os de seus dispositivos e exige pagamento em criptomoeda antes de restaurar o acesso. Esses novos ataques de ransomware podem ser introduzidos por meio de vários vetores de ataque, desde e-mails de phishing tradicionais a cavalos de Tróia, programas falsos e kits de exploração.
Novos ataques de ransomware escondidos em camadas de criptografia
Enquanto uma série de bugs no código do GandCrab sugere que o ransomware não é trabalho de profissionais, de acordo com os pesquisadores, ele tem características únicas que devem colocar as equipes de segurança em alerta máximo. As versões mais recentes, por exemplo, usam um algoritmo chamado Salsa20 para criptografar arquivos em vez de alternativas mais lentas e menos eficientes, como o Advanced Encryption Standard (AES) e o RSA.
Ao gerar chaves Salsa20 aleatórias e vetores de inicialização para cada arquivo, o GandCrab essencialmente se protege com uma série de camadas de criptografia que impedem que as vítimas abram novamente. As equipes de segurança precisariam de uma chave privada para acessar a chave pública incorporada. Além disso, como o GrandCrab se exclui e todos os “shadow volumes” que poderiam permanecer em um dispositivo infectado, é difícil para os pesquisadores aprenderem sobre novos ataques de ransomware após o fato.
Defenda seus dados com uma última contenção
Dada a rapidez com que esse ransomware tornou-se valioso para os cibercriminosos e a promoção que pode estar obtendo em fóruns clandestinos, nem sempre é possível desligar o GandCrab das redes corporativas. Em seu “Guia de Respostas do Ransomware”, o IBM X-Force recomenda um método chamado contenção de último recurso para ajudar as organizações a responder quando não conseguem descobrir com rapidez ou facilidade de onde estão surgindo os novos ataques de ransomware.
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
- Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
- [SAFEWAY]Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
- E outras, envolvendo tecnologias Imperva, Thales, BeyondTrust, Varonis, WatchGuard Technologies.
