SegurançaÚltimas

Encontrada nova variante de malware do setor financeiro capaz de apagar disco rígido

Trend Micro descobre variante do KillDisk na América Latina usado para extorsão digital e que pode fazer parte de ataque maior.

Especialistas da Trend Micro identificaram uma nova variante do KillDisk, um malware direcionado contra organizações financeiras da América Latina que apaga o disco rígido. A análise inicial, que ainda está em andamento, revela que pode ser um componente de um kit de malware ou parte de um ataque maior.

Ataques virtuais: veja as principais ameaças para 2018

O KillDisk, juntamente com o multifuncional e kit de espionagem cibernética BlackEnergy, foi usado em ataques cibernéticos no final de 2015 contra a indústria de energia, ferroviária, mineiradoras e os bancos da Ucrânia. Desde então, o malware se transformou em uma ameaça usada para extorsão digital, afetando as plataformas Windows e Linux. Assim como no caso Petya, o bilhete de resgate era uma armadilha: o KillDisk substitui e exclui arquivos (e não armazena as senhas de criptografia no disco ou online), portanto é impossível recuperar os arquivos codificados.  

Cadeia de infecção do KillDisk (imagem: Trend Micro).

A Trend Micro avalia que a variante do KillDisk parece ter sido intencionalmente lançada por outro processo/agente de ataque. O caminho do arquivo está codificado no malware, ou seja, está firmemente ligado ao instalador ou faz parte de um pacote maior.

O KillDisk também conta com um processo de autodestruição, mas isso não significa que o malware se deleta. Ele renomeia seu arquivo durante a execução e, consequentemente, caso a análise do disco seja executada e procurar o malware, o arquivo recuperado será o arquivo recém-criado.

O malware lê o Master Boot Record (MBR) de cada dispositivo que abre com sucesso, passa a substituir os primeiros setores 0x20 do dispositivo por “0x00” e usa as informações do MBR para causar mais danos nas partições listadas. Na sequência, o KillDisk tem um parâmetro numérico que determina quantos minutos (15 sendo o padrão) aguardará antes de desligar a máquina afetada, rentando reiniciá-la depois.  

O que as organizações podem fazer?

As capacidades destrutivas do KillDisk e o fato de que pode ser apenas parte de um ataque maior são evidências da importância de uma proteção em camadas: proteger os perímetros – desde gateways, endpoints e redes até os servidores – para reduzir ainda mais a superfície de ataque.  

Veja abaixo uma lista de boas práticas que devem ser adotadas pelas organizações: 

  • Aplique as atualizações e correções ao sistema e aos aplicativos para impedir que invasores explorem falhas de segurança; estude usar o método de correção virtual em sistemas antigos;  
  • Sempre faça backup dos dados e garanta a integridade deles;  
  • Adote o princípio de hierarquização do privilégio. A segmentação da rede e a categorização de dados ajudam a evitar movimentos laterais e futuras exposições;  
  • Implemente mecanismos de segurança, como controle de aplicativos/whitelisting e monitoramento de comportamento, que podem impedir que programas suspeitos sejam executados e impedir modificações anômalas do sistema;  
  • Monitore proativamente o sistema e a rede; ative e use firewalls, bem como sistemas de prevenção e detecção de intrusão;  
  • Implemente uma política gerenciada de tratamento de incidentes que impulsionará estratégias proativas de tratamento; fortaleça ainda mais a postura de segurança da organização cultivando um local de trabalho com conscientização cibernética.  
Newsletter

Inscreva-se para receber nossa newsletter semanal
com as principais notícias em primeira mão.


    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *