Como atua o ransomware Snake que paralisou empresas mundo afora

Na primeira quinzena do mês de junho, fábricas da Honda foram comprometidas por um ataque cibernético causado pelo ransomware Snake. A invasão nos sistemas da montadora fez com que ela fosse obrigada a paralisar sua produção em países como Estados Unidos, Brasil, Japão, Itália e Reino Unido, e ter seus serviços de atendimento ao cliente e serviços financeiros interrompidos por dias.

A Kaspersky ICS CERT publicou nesta semana uma análise sobre o comportamento do ransomware, que é capaz de criptografar e impedir que a empresa acesse os documentos de trabalho. Segundo o relatório, o Snake atua de maneira direcionada, disfarçando-se com os mesmos domínios e endereços IP das redes invadidas para obter livre acesso e executar a codificação dos arquivos.

Dessa forma, a ação do Snake representa apenas a última de uma série de etapas pré-coordenadas. Antes de estruturar o ransomware, por exemplo, os cibercriminosos precisam descobrir os registros de endereço dos seus alvos, e, em alguns casos, eles obtêm esses dados por meio de servidores de DNS públicos. Todas as amostras analisadas foram bloqueadas pelas soluções de segurança da Kaspersky, com base no modelo do ransomware Snake original, identificado em dezembro de 2019.

De acordo com a Kaspersky ICS CERT, o malware foi iniciado usando um arquivo “nmon.bat”. A única diferença entre todas as amostras Snake identificadas é o nome de domínio e o endereço IP incorporado ao código. Segundo a Kaspersky, o endereço IP no código do malware é comparado com o IP da máquina infectada, caso o malware consiga identificá-lo. O malware apenas criptografa os dados da máquina infectada quando os endereços IP do dispositivo e o presente no código do malware são os mesmos.

Ainda segundo as descobertas dos pesquisadores de cibersegurança, a combinação de endereço IP e nome de domínio incorporada no código de malware é exclusiva para cada ataque identificado. Aparentemente, ela é válida para a rede interna da organização alvo dos ataques.

Para identificar indícios de um ataque do ransomware Snake e evitar possíveis danos, a empresa recomenda verificar políticas e scripts de domínio ativo para códigos maliciosos; Verificar tarefas ativas no Agendador de Tarefas do Windows, tanto em estações de trabalho quanto em servidores, para a busca de códigos maliciosos e, por fim, alterar as senhas de todas as contas no grupo de administradores de domínio.