ransomware.jpg

Ransomware reinicia PCs com Windows no modo de segurança

Da Redação
11/12/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança dizem que se trata de um comportamento nunca visto

ransomware.jpg

A equipe de pesquisadores de segurança do SophosLabs encontrou um novo ransomware chamado Snatch, que reinicia PCs com Windows no modo de segurança antes de iniciar a criptografia. Segundo os pesquisadores, esse é um comportamento nunca visto e a possível razão pela qual o Snatch reinicia os PCs no meio do ataque é evitar aplicativos antivírus instalados.

Os autores do Snatch sabem muito bem que a maioria dos aplicativos antivírus é ineficaz no modo de segurança do Windows, já que permite apenas que programas e serviços essenciais do sistema sejam executados durante a inicialização.

O ransomware usa uma chave de registro do Windows para agendar o processo de criptografia, o que impossibilita o antivírus pegá-lo ou interromper a criptografia.

Mas o aspecto mais perigoso do ataque é que o Snatch se configura como um serviço que será executado mesmo durante a reinicialização do modo de segurança e, em seguida, reinicia a caixa no modo de segurança. Isso neutraliza efetivamente a proteção ativa de muitas ferramentas de segurança.

O Snatch foi descoberto há um ano por pesquisadores de segurança e a nova técnica para evitar aplicativos antivírus reiniciando PCs no modo de segurança é um recurso adicionado recentemente.

O ransomware, em questão, possui um componente de ransomware, um ladrão de dados, um shell reverso do Cobalt Strike e muitas ferramentas — não essencialmente prejudiciais — que estão disponíveis ao público e são usadas por administradores e testadores de penetração.

A razão pela qual o Snatch não ganhou popularidade é que os autores por trás do ransomware ou da Equipe Snatch nunca pretenderam atingir usuários domésticos e usuários em geral. Eles miraram empresas e órgãos governamentais. Essa técnica é chamada de “caça ao grande jogo” no campo da segurança cibernética e os grupos que adotam isso geralmente desejam obter uma grande soma de dinheiro com resgates.

Em seu relatório, a Sophos menciona que as organizações devem usar senhas fortes e autenticação multifator para os serviços e portas expostas à internet.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest