Dicas para empresas se protegerem do novo ransomware Sodin no Windows

Foco de ataques do ransomware foi em países da Ásia, embora ataques na América Latina também tenham sido identificados.

Author Photo
2:05 pm - 08 de julho de 2019
Usuários corporativos são alvo atraente para ataques de ransomware

Um novo ransonware para Windows foi descoberto pela equipe de pesquisadores da Kaspersky. Chamado de Sodin, ele explora uma vulnerabilidade desconhecida (zero-day) no Windows, buscando acesso privilegiado de administrador. Indo além, sistemas infectados tendem a abrir portas da arquitetura da CPU para evitar sua detecção.

Normalmente, ataques por ransonware encontram vulnerabilidades ao serem baixados – tradicionalmente por e-mail. No caso do Sodin, foi descoberto que os invasores encontravam servidores vulneráveis e enviavam comandos para baixar e executar o arquivo malicioso “radm.exe”.

Utilizando uma técnica chamada de “Heaven’s Gate”, o Sodin consegue se camuflar no sistema ao executar um código 64 bits de um processo em execução 32 bits, como revelado pelos pesquisadores. O mapa de alvos do programa revela que, na Ásia, foram detectados 17,6% dos ataques em Taiwan, 9,8% em Hong Kong e 8,8% na República da Coreia.

Também foram identificados ataques na Europa, América do Norte e América Latina. De acordo com a companhia, os criminosos responsáveis pelo Sodin exigem como resgate cerca de US$ 2.500 em Bitcoin da vítima.

Segundo Fabio Assolini, analista sênior da Kaspersky, ataques de ransonware caíram 30% nos últimos dois anos, mas “os hackers têm escolhido os seus alvos tendo em conta seu potencial, dando preferência a grandes instituições e empresas que possam pagar o resgate pedido“.

Desta forma, o volume contra usuários domésticos vem caindo, mas o foco em organizações pode causar prejuízos consideráveis, “o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, completa.

O que fazer para proteger sua empresa

Embora seja, de fato, uma situação preocupante, empresas podem se adiantar perante ameaças como o Sodin. Normalmente, ransomwares tendem a criptografar os dados nos discos da vítima e bloquear o acesso normal ao sistema. Desta forma, os atacantes mal-intencionados tendem a exigir uma quantia para liberar este acesso aos arquivos.

Existem algumas dicas importantes para evitar tais preocupações, como por exemplo:

  • Atualizem sempre o sistema operacional. Brechas de segurança, naturalmente, são compensadas em updates menores, é importante checá-los;
  • Mantenha também seus programas e aplicativos atualizados. Muitos ataques podem ser iniciados por vulnerabilidades simples, nestes casos;
  • Como indicado pela Kaspersky, também é importante utilizar uma solução robusta de segurança;
  • Phishing: evite clicar em links e/ou baixar documentos/arquivos de fontes desconhecidas;
  • Tenha um sistema de backup eficaz e recorrente, para que dados em máquinas comprometidas não sejam isolados e totalmente perdidos;
  • Faça uma revisão de segurança nos servidores e permissões para instalação de programas nas máquinas de sua empresa.

A Kaspersky revela que a vulnerabilidade foi corrigida em 10 de outubro de 2018. Os pesquisadores da empresa de segurança também acreditam que o ataque que originou o Sodin é de autoria do grupo FruityArmor.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.