O criptoransomware WastedLocker que interrompeu as operações da fabricante de sistemas de navegação por GPS Garmin por três dias foi projetado especificamente para atingir a empresa e contém vários aspectos técnicos incomuns.
A primeira delas, segundo especialistas da empresa de segurança cibernética Kaspersky, é a técnica para burlar o controle de acesso de usuário (UAC). Uma vez iniciado em um dispositivo comprometido, o ransomware verifica se possui privilégios suficientes para se executar. Caso não o tenha, tentará elevar seu privilégio de forma silenciosa, enganando o sistema e usando binários legítimos para iniciar o código do trojan, escondido em um fluxo ADS (alternate aata stream), nativo de sistemas NTFS. Dessa forma o trojan conseguirá se executar e iniciar a infecção em sistemas configurados com contas de usuários limitadas.
A amostra analisada do WastedLocker pela Kaspersky usou uma chave pública RSA, usada para criptografar os arquivos. Isso seria uma fraqueza se o malware fosse distribuído em massa, pois o descriptografador usaria uma única chave RSA privada para desbloquear todos os arquivos afetados. No entanto, para uma campanha direcionada, como é nitidamente o caso deste ataque, usar uma única chave RSA é eficaz.
Veja isso
Garmin tem serviços e fábrica paralisados por ransomware
Light pode ter sido atingida pelo ransomware Sodinokibi
Segundo o analista se segurança da Kaspersky, Fabio Assolini, o incidente mostra que há uma tendência crescente de ataques direcionados de ransomware contra grandes corporações, algo que contrasta com as campanhas mais difundidas e populares do passado, como WannaCry e NotPetya. “Embora tenham menos vítimas, a maioria desses ataques direcionados estão sendo criados para realizar a dupla extorsão. Isso ocorre quando o criminoso cobra o resgate dos dados e, caso a empresa não aceite pagar, ele ameaça publicar os dados vazados na internet, o que gerará multa à empresa vítima com base nas leis de proteção de dados vigentes.”
Para Assolini, essa tendência só deve crescer no futuro próximo. “Importante notar que não observamos esse comportamento no WastedLocker, porém muitas outras famílias de ransomware adotam essa prática. Portanto, é fundamental que as organizações fiquem atentas e tomem medidas de prevenção”, afirma.
O ataque fez com que a rede e os sistemas de produção da Garmin fossem criptografados e mantidos inacessíveis até que um resgate de US$ 10 milhões fosse pago. Em comunicado oficial, a empresa confirmou que foi vítima do WastedLocker, que se tornou visivelmente mais ativo desde o primeiro semestre deste ano.