Emotet 101: Como funciona o Ransomware — e por que é tão eficaz

Views: 512
0 0
Read Time:4 Minute, 46 Second

Nas últimas semanas, Emotet emergiu como a forma mais comum de ransomware. Gerenciar o risco envolve começa com a compreensão da forma como funciona.

O Ransomware emergiu como uma ameaça primária para organizações de todas as formas e tamanhos. De acordo com o relatório “The State of Ransomware 2020” da empresa de segurança cibernética Sophos, 51% das organizações foram atingidas por ataques de ransomware no último ano, e o custo médio para remediar um ataque chegou a US$ 761.106 globalmente.

Embora existam inúmeros tipos de ransomware, uma das versões mais proeminentes e perigosas é a Emotet. A Emotet é um “componente-chave” em campanhas de ransomware, observou a empresa de segurança Mimecast em seu “Relatório de Inteligência de Ameaças” 2020 ” E, de acordo com o Proofpoint, os países mais comuns alvo incluem Alemanha, Áustria, Suíça, Estados Unidos, Reino Unido e Canadá.

O que é Emotet?

Emotet é um Trojan disponível através de um modelo de malware como serviço (MaaS). Isso significa que os cibercriminosos podem baixar um pacote, muitas vezes por algumas centenas de dólares ou uma taxa de assinatura mensal, e ataques diretos a empresas e indivíduos.

A carga inicial — que normalmente é fornecida por e-mail, documentos infectados ou sites — libera um script, macro ou código que funciona como um worm que infecta vários aplicativos e sistemas de software, como um catálogo de endereços do Outlook ou um contêiner baseado em nuvem.

“Em muitos casos, a Emotet geralmente fica ociosa por 30 a 45 dias antes de lançar um ataque de ransomware”, observa Keith Mularski, diretor administrativo na prática de segurança cibernética da consultoria EY.

A Emotet é altamente eficaz porque baixa continuamente componentes de malware à medida que percorre seus sistemas, diz Mularski. Muitas ferramentas de segurança convencionais, como firewalls, não são eficazes contra ela porque a Emotet cria canais criptografados que as defesas de rede não podem detectar.

Então, uma vez que a Emotet capturou e criptografou arquivos, os ladrões cibernéticos exigem um resgate, muitas vezes pago através de criptomoedas não rastreáveis, como o Bitcoin. Notavelmente, “Os cibercriminosos operam a Emotet muito parecida com um negócio, inclusive oferecendo suporte ao cliente”, diz John Shier, conselheiro sênior de segurança da Sophos.

Como é um ataque?

Normalmente, uma infecção ocorre quando alguém clica em um link em um e-mail, muitas vezes através de um ataque de phishing. Isso direciona o usuário para um site ou serviço que baixa o “dropper” inicial. Uma vez que essa macro ou código reside em um computador, ele começa a procurar outros computadores conectados e se espalhar, distribuindo ainda mais o malware. Frequentemente, ele usa o Microsoft Outlook para gerar e-mails.

À medida que a Emotet infecta sistemas, realiza ataques de força bruta em contas, buscando quebrar senhas e obter acesso a dados seguros, observa Shier. Em algum momento, ele captura e criptografa esses arquivos. Uma vez que os cibercriminosos seguram os dados criptografados — e a empresa é bloqueada — eles exigem um resgate. O preço pode variar de alguns milhares de dólares a milhões de dólares. De acordo com o relatório da Sophos, 94% das organizações finalmente recuperam o controle de seus dados, mas a um custo médio de US$ 732.520 por incidente.

Por que Emotet é tão eficaz?

Emotet existe em várias versões diferentes e incorpora um design modular. Isso torna mais difícil identificar e bloquear. Ele usa técnicas de engenharia social para obter entrada em sistemas, e é bom em evitar a detecção. Além disso, as campanhas da Emotet estão em constante evolução. Algumas versões roubam credenciais bancárias e dados corporativos altamente sensíveis, que os cibercriminosos podem ameaçar liberar publicamente.

“Isso pode servir como uma alavanca adicional para pagar o resgate”, explica Shier.

Um e-mail inicial pode parecer originário de uma fonte confiável, como um gerente ou executivo da empresa superior, ou pode oferecer um link para o que parece ser um site ou serviço legítimo. Ele geralmente se baseia em técnicas de compactação de arquivos, como ZIP, que espalham a infecção através de vários formatos de arquivo, incluindo .doc, docx e .exe. Isso oculta o nome do arquivo real enquanto ele se move dentro de uma rede.

Esses documentos podem conter frases como “detalhes de pagamento” ou “por favor atualize seu arquivo de recursos humanos” para enganar os destinatários a ativar cargas. Algumas mensagens recentemente giraram em torno do COVID-19. Eles geralmente chegam de um endereço de e-mail legítimo dentro da empresa — e podem incluir arquivos benignos e infectados. Além disso, Emotet pode detectar o ambiente em que está funcionando. Por exemplo, ele sabe quando reside dentro de uma máquina virtual (VM) e permanece adormecido para evitar a detecção de scanners de malware.

O Emotet usa servidores de comando e controle (C2) para receber atualizações sub-repticiamente. Isso permite que os invasores atualizem o código de malware e plantem outros Trojans. Também é possível limpar um computador, mas depois ter o malware reaparecer.

Como você pode combater Emotet?

Há várias maneiras de reduzir o risco de uma infecção — e os problemas resultantes que a Emotet causa, diz Shier. Primeiro, é sábio implantar um software de segurança que identifica e bloqueia e-mails potencialmente perigosos. Também é fundamental proteger todos os dispositivos gerenciados e não gerenciados que se conectam à rede. Outras proteções incluem senhas fortes e autenticação multifatorial, patches consistentes e o uso de software de inteligência de ameaças. Finalmente, os funcionários devem aprender a identificar e-mails suspeitos.

Infelizmente, o ransomware — e o Emotet — não desaparecerão tão cedo. Nas últimas semanas, ele emergiu como a forma mais comum de ransomware. Diz Mularski: “Os ataques estão se tornando mais sofisticados. Eles representam um risco muito real para todas as empresas.”

FONTE: DARK READING

POSTS RELACIONADOS