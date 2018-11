A Check Point Software Technologies Ltd alerta para a rápida transformação do ransomware a que se tem assistido nos últimos anos. Antes, os cibercriminosos enviavam e-mails de ‘phishing’ para milhares de endereços, agora o seu trabalho foca-se na melhoria da arquitetura do malware, com o objetivo de aumentar o grau de precisão e as técnicas que permitem aceder às botnets.

O objetivo destas campanhas também mudou. Antes, estas eram dirigidas a qualquer utilizador, agora o ransomware tem a capacidade de encriptar os recursos das redes empresariais, multiplicando assim o seu poder de alcance. À medida que aumenta o conhecimento sobre as potenciais vítimas, especialmente em ambiente corporativo, também se assiste a uma evolução do ransomware relativamente a ataques mais sofisticados através dos quais vários ficheiros são infectados simultaneamente.

Nesse sentido, diversas investigações realizadas recentemente revelam que os cibercriminosos estão a utilizar o Protocolo de Escritório Remoto, um protocolo desenhado pela Microsoft que oferece aos utilizadores uma interface gráfica de um sistema remoto, com o objectivo de entrar nos ambientes de trabalho das vítimas. Uma vez que os cibercriminosos definem um ponto de entrada, podem desenvolver e adoptar ferramentas para encontrar e explorar relações utilizador/ grupo/ administrador mal configuradas.

A Check Point refere que as configurações de Active Directory mal definidas são das mais utilizadas pelos hackers, já que lhes permite aceder com permissões de administrador. Uma vez comprometida a conta do administrador, podem fazer o reconhecimento da rede para identificar os ativos mais críticos e encriptá-los.

Ao contar com o controlo feito por centenas ou milhares de equipamentos, uma botnet pode ser utilizada para enviar ransomware. A táctica de usar o Protocolo de Escritório Remoto como ponto de entrada inicial e o uso de botnets para espalhar ransomware são comuns por parte das organizações cibercriminosas. No entanto, em casos recentes, de que é exemplo o ransomware Ryuk, o acesso é feito através da VPN.

Normalmente, o vetor de ataque é um e-mail de ‘phishing’ com ficheiros maliciosos. Os especialistas da Check Point salientam que as táticas de implementação de ransomware sofreram uma grande evolução e que a tendência para iniciar os ataques através de phishing continuará a crescer. Com o tempo serão utilizados outros bots, mas a forma efetiva de espalhar malware, torna-os numa opção muito atrativa para os cibercriminosos.