Kaspersky analisa ransomware que paralisou indústrias no mundo

Novo relatório publicado pelo Kaspersky ICS CERT faz uma análise inédita do comportamento do ransomware Snake (ou Ekans), que foi responsável pela paralisação de atividades industriais nos últimos meses, após ataques a empresas em diferentes partes do mundo.
De acordo com a publicação, o Snake – capaz de criptografar e impedir que a empresa acesse os documentos de trabalho – atua de maneira direcionada, disfarçando-se com os mesmos domínios e endereços IP das redes invadidas para obter livre acesso e executar a codificação dos arquivos. Essa informação indicaria ainda que a ação do Snake representa apenas a última de uma série de etapas pré-coordenadas. Antes de estruturar o ransomware, por exemplo, os cibercriminosos precisam descobrir os registros de endereço dos seus alvos, e, em alguns casos, eles obtêm esses dados por meio de servidores de DNS públicos.
Todas as amostras analisadas foram bloqueadas pelas soluções de segurança da Kaspersky, com base no modelo do ransomware Snake original, identificado em dezembro de 2019.

Confira abaixo as principais descobertas do Kaspersky ICS CERT sobre o ransomware Snake, e recomendações para que as empresas possam se prevenir de possíveis ataques.
• O malware foi iniciado usando um arquivo “nmon.bat”. O arquivo é detectado pelos produtos Kaspersky nas pastas de script da política de domínio;
• A única diferença entre todas as amostras Snake identificadas é o nome de domínio e o endereço IP incorporado ao código;
• O endereço IP no código do malware é comparado com o IP da máquina infectada, caso o malware consiga identificá-lo;
• O malware apenas criptografa os dados da máquina infectada quando os endereços IP do dispositivo e o presente no código do malware são os mesmos;
• A combinação de endereço IP e nome de domínio incorporada no código de malware é exclusiva para cada ataque identificado. Aparentemente, ela é válida para a rede interna da organização alvo dos ataques;
• Em alguns casos, os nomes de domínio podem ter sido obtidos de servidores públicos (DNS), enquanto as informações sobre os endereços IP associados a esses nomes de domínio são, aparentemente, armazenadas em servidores DNS internos. Com isso, apenas se tornam disponíveis quando enviam solicitações de DNS a partir das próprias redes internas invadidas;
• Além do nome de domínio e endereço IP da organização, incorporados ao código do malware, as novas amostras do Snake são diferentes daquelas identificadas em dezembro de 2019. Isso porque elas possuem uma lista expandida das extensões de arquivos (typos) que o malware deve criptografar. Os exemplos incluem extensões para arquivos de unidades virtuais, Microsoft Access, código-fonte em С / C# / ASP / JSP / PHP / JS, além dos arquivos correspondentes de projetos, soluções e outras extensões que não eram suportadas por versões anteriores.
Para identificar indícios de um ataque do ransomware Snake e evitar possíveis danos, o Kaspersky ICS CERT recomenda:
• Usar os IoCs (indicadores de compromisso) fornecidos no relatório para identificar infecções em estações de trabalho e servidores Windows (confira-os aqui);
• Verificar políticas e scripts de domínio ativo para códigos maliciosos;
• Verificar tarefas ativas no Agendador de Tarefas do Windows, tanto em estações de trabalho quanto em servidores, para a busca de códigos maliciosos;
• Alterar as senhas de todas as contas no grupo de administradores de domínio.
Para mais informações, acesse a íntegra do relatório do site do Kaspersky ICS CERT.
O Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) é um projeto global lançado pela Kaspersky em 2016 para coordenar os esforços dos fornecedores de sistemas de automação, proprietários e operadores de instalações industriais e investigadores de IT para proteger as empresas industriais contra ciberataques. O Kaspersky ICS CERT dedica os seus esforços principalmente à identificação de ameaças potenciais e existentes dirigidas a sistemas de automação industrial e à Industrial Internet of Things (IIOT). O Kaspersky ICS CERT é membro ativo e parceiro das principais organizações internacionais que desenvolvem recomendações sobre a proteção das empresas industriais contra ciberameaças.
Serviço
ics-cert.kaspersky.com
www.kaspersky.com.br