Novo ransomware obriga CNCS a elevar nível de alerta

A vaga suportada no malware Bad Rabbit procura tirar partido dos processos de actualização do Adobe Flash, feitos a partir de fontes não fidedignas.

Uma nova campanha de ransomware, Bad Rabbit, foi detectada na noite de terça-feira pelas redes de cibersegurança internacionais. O Centro Nacional de Cibersegurança (CNCS) elevou de imediato o nível de alerta.

O ransomware propaga-se através do download não intencional por parte do utilizador, no momento que visita determinado website, que se faz passar por uma actualização do Adobe Flash.

Imediatamente após o alerta dessas redes, das quais o Centro Nacional de Cibersegurança CNCS faz parte, os serviços técnicos do departamento de operações do CNCS “aumentaram o seu nível de alerta por forma a avaliar o impacto e lançar um comunicado para as redes nacionais de confiança em cibersegurança com os indicadores de compromisso e possíveis medidas de mitigação”.

Em comunicado, o CNCS explica que  este ransomware se caracteriza “pela propagação em modo de ‘drive-by download’ (download não intencional por parte do utilizador) no momento que visita um website, fazendo-se passar por uma actualização do Adobe Flash. A vítima tem de executar manualmente o ficheiro. Após a execução do ficheiro, o computador reinicia e começa o processo de cifra sendo colocada uma nota de resgate. Visitando o website sugerido é possível verificar a quantia a pagar no momento (0,05 bitcoins [cerca de 238 euros]. Após os ficheiros estarem cifrados, a extensão é alterada para .encrypted”.

 O CNCS alerta todos os utilizadores para não efectuarem actualizações do Adobe Flash de fontes não fidedignas.

Ainda segundo a CNCS, “a propagação lateral é feita por SMB, não sendo a vulnerabilidade Eternal Blue, mas sim um ataque de força-bruta ou recolha de credenciais com software apropriado”. Acresce ainda que esta nova campanha está directamente ligada “aos ataques sentidos durante o dia de ontem no aeroporto de Odessa e no metro de Kiev, sendo o governo Russo apontado como atacante pelo governo da Ucrânia”.

O CNCS relaciona ainda esta campanha com as notícias, saídas dias antes, “da necessidade de fazer a atualização do Adobe Flash por existir uma vulnerabilidade explorada pela APT28”.

“Alerta para a consciencialização dos seus utilizadores”

Entre as regiões mais afectadas estão a Rússia, a Ucrânia, a Bulgária, a Turquia e o Japão. Nem o CNCS nem outros especialistas contactados pelo Computerworld Portugal têm conhecimento de que a campanha tenha chegado ao país, hipótese que não deve ser descartada.

Quando o Bad Rabitt se introduz, “as consequências podem ser dramáticas com sistemas totalmente reféns dos atacantes”, assevera Sérgio Silva, especialista em cibersegurança com experiência no sector da Administração Pública.

Sérgio Silva recomenda às organizações a emissão de um “alerta para a consciencialização dos seus utilizadores”, porque o método de ataque “consiste em levar o utilizador a fazer download do que parece ser uma actualização do flash e executar essa mesma actualização, a partir dai todo o conteúdo da máquina pode ser cifrada e ficar sob pedido de resgate”.

“Não executar ficheiros de origem duvidosa, informar e se possível navegar numa ‘sandbox’”, Sérgio Silva, especialista em cibersegurança.

Acima de tudo, Sérgio Silva recomenda, “não executar ficheiros de origem duvidosa, informar e se possível navegar numa sandbox”, lamentado no entanto a dificuldade que estas medidas podem representar quando “não temos uma cultura de segurança”.

Nuno Reis, consultor de cibersegurança, acrescenta ainda que este tipo de ataques pode “afectar a reputação” deu uma empresa bem como resultar na “perda de informação”. Sistemas operativos actualizados, sistemas de segurança instalados e actualizados e backup de informação são as três recomendações deixadas pelo consultor de segurança da Samsys Informática.

Recomendações de segurança

Como forma de contenção o CNCS recomenda “a actualização dos antivírus e o alerta a todos os utilizadores para não efectuarem actualizações do Adobe Flash de fontes não fidedignas”.

O CNCS acrescenta ainda que “ao serem criados os ficheiros c:\windows\infpub.dat e c:\windows\cscc.dat e ao serem removidas todas as suas permissões, fará com que o ataque não se consiga efectuar”.

Artigos relacionados

O seu comentário...

*

Top