Kaspersky analisa ransomware WastedLocker que atacou a Garmin

A Garmin, fornecedora de navegação por tecnologia GPS, foi vítima de um ataque de crypto-ransomware que interrompeu seus serviços por três dias. Sua rede e sistemas de produção foram criptografados e mantidos inacessíveis até que um resgate de US$ 10 milhões fosse pago.
Em comunicado oficial, a empresa confirmou que foi vítima do trojan WastedLocker, ransomware que se tornou visivelmente mais ativo desde o primeiro semestre deste ano. Esta versão foi projetada especificamente para atingir a Garmin e contém vários aspectos técnicos incomuns.

O primeiro deles é sua técnica para burlar o Controle de Acesso de Usuário (UAC). Uma vez iniciado em um dispositivo comprometido, o trojan verifica se possui privilégios suficientes para se executar. Caso não o tenha, tentará elevar seu privilégio de forma silenciosa, enganando o sistema e usando binários legítimos para iniciar o código do trojan, escondido em um fluxo ADS (Alternate Data Stream), nativo de sistemas NTFS.
Dessa forma o trojan conseguirá se executar e iniciar a infecção em sistemas configurados com contas de usuários limitadas.
Adicionalmente, a amostra analisada do WastedLocker usou uma chave pública RSA, usada para criptografar os arquivos. Isso seria uma fraqueza se o malware fosse distribuído em massa, pois o descriptografador usaria uma única chave RSA privada para desbloquear todos os arquivos afetados. No entanto, para uma campanha direcionada, como é nitidamente o caso deste ataque, usar uma única chave RSA é eficaz.
“Esse incidente destaca que há uma tendência crescente de ataques direcionados de ransomware contra grandes corporações, algo que contrasta com as campanhas mais difundidas e populares do passado, como WannaCry e NotPetya. Embora tenham menos vítimas, a maioria desses ataques direcionados estão sendo criados para realizar a dupla extorsão. Isso ocorre quando o criminoso cobra o resgate dos dados e, caso a empresa não aceite pagar, ele ameaça publicar os dados vazados na internet – o que gerará multa à empresa vítima com base nas leis de proteção de dados vigentes. E essa tendência só deve crescer no futuro próximo. Importante notar que não observamos esse comportamento no WastedLocker, porém muitas outras famílias de ransomware adotam essa prática. Portanto, é fundamental que as organizações fiquem atentas e tomem medidas de prevenção”, afirma Fabio Assolini, analista se segurança da Kaspersky.
Para evitar ser vítima do WastedLocker e outros ransomware, os especialistas da Kaspersky recomendam:
• Use as versões atualizadas do sistema operacional e outros softwares;
• Tenha uma VPN para proteger o acesso remoto aos recursos da empresa;
• Adote uma solução de segurança de qualidade, como a Kaspersky Endpoint Security for Business configurado corretamente para detectar comportamentos suspeitos, permitindo a reversão automática de arquivos e outras tecnologias para proteção contra ransomware;
• Invista na capacitação dos colaboradores. A Kaspersky Security Awareness oferece treinamentos que combinam a expertise em segurança online com as melhores práticas de ensino e tecnologias;
• Use uma solução confiável para backup de dados.
Para mais detalhes sobre a análise do WastedLocker, acesse Securelist.