O ransomware LockerGoga já está sendo detectado pela maioria dos produtos de segurança de endpoint –  segundo o site Virustotal. Mas no dia 8 de Março esse malware passou por 67 deles sem qualquer detecção. Essa informação foi prestada pelo especialista em segurança inglês Kevin Beaumont. Ele avisou no Twitter que “apesar de [ter ocorrido] um ataque usando o LockerGoga na Altran (34.000 funcionários) em janeiro, a grande maioria dos produtos anti-malware de segurança de endpoint não estava conseguindo detectá-lo. Ao enviar uma amostra para o VirusTotal, ele não foi detectado por nenhum dos 67 produtos disponíveis”. Para o especialista, essa teria sido uma das causas pelas quais o malware não foi detectado na Norsk Hydro (e agora na Hexion).

O Cisoadvisor consultou a Kaspersky sobre o assunto e a empresa enviou a seguinte explicação: “A detecção por assinatura dessa ameaça foi lançada em 9 de Março, porém nossos produtos já bloqueavam esta ameaça por meio da tecnologia System Watcher. O papel desta tecnologia é executar o bloqueio proativo contra ataques de ransomware. Aproveitando a oportunidade do Norsk Hydro, uma solução dedicada de segurança para infraestrutura crítica industrial é altamente recomendada. Com relação à alegação de que a maioria das soluções de segurança não detectava o ransomware LockerGoga, gostaríamos de esclarecer dois pontos:

  1. Uso do serviço VirusTotal: essa análise não representam 100% da detecção de uma ameaça. Os resultados do VirusTotal são uma referência e não uma conclusão ou avaliação comparativa de performance da detecção de um produto. Vários fatores estão relacionados a isso, porém o mais importante é que os produtos usados dentro do VirusTotal são versões simplificadas para a plataforma, que está preparada para rodar em linha de comando. O VirusTotal não conta com a versão mais recente das soluções, que contam ainda com outras tecnologias de proteção. Para mais detalhes sobre este ponto, recomendamos que consulte o link a seguir: https://support.virustotal.com/hc/en-us/articles/115002094589-Why-do-not-you-include-statistics-comparing-antivirus-performance-
  2. Assinatura Digital: o ransomware LockerGoga conta com uma assinatura digital, que faz com que alguns produtos de segurança não detectem a ameaça, justamente porque software assinado digitalmente costuma ter uma reputação de software limpo. Podemos afirmar que este certificado não impacta a detecção dos nossos produtos, pois já se tornou corriqueiro realizar varreduras em arquivos assinados digitalmente, visto que essa técnica tem sido amplamente abusada e usada por cibercriminosos no mundo todo, inclusive sendo usada em malware brasileiro (exemplo de um encontrado por nós em 2012).