• SamSam: Praga Sinaliza uma Nova Tendência de Ransomware

    Publicado em 12-04-2016 23:00
    0 Comentários Comentários
    O surgimento de uma nova variante de um cripto-ransomware, pode indicar uma mudança no sentido dos ataques, atuando na segmentação das empresas. Nesse caso, trata-se de um malware que criptografa seus arquivos. Nas últimas semanas, o Federal Bureau of Investigation (FBI), juntamente com os EUA-CERT e Canadian Cyber Incident Response Centre (CCIRC) emitiu advertências sobre o aumento de incidentes envolvendo ransomware. No último mês de fevereiro, foi possível destacar o aumento do ransomware "Locky", uma das variantes de ransomware mais prevalentes que está em circulação. Ao longo dos últimos meses, SamSam (também conhecido como "Samas" ou "Samsa"), uma nova variante do ramo de praga em questão, tem sido assunto de destaque nas manchetes ligadas à tecnologia, devido a uma abordagem que ele utiliza para infectar sistemas. Os tipos de ransomware convencional, infecta sistemas através de downloaders maliciosos distribuídos através do modo drive-by-downloads e também via e-mails de spam maliciosos. Depois que um usuário estiver infectado com um downloader malicioso, ele irá baixar outros tipos de malware, que muitas vezes inclui o cripto-ransomware.


    Os e-mails maliciosos contêm uma variedade de arquivos anexos, que se forem abertos, irão baixar e executar uma das muitas variantes de ransomware para iniciar o processo de criptografia. Uma vez que os arquivos forem criptografados, um pagamento de resgate é exigido da vítima, com a suposta finalidade de que os arquivos sejam decriptografados. Ressaltando que a praga "Samsam", ao contrário de outros tipos de ransomware convencional, não é entregue através de drive-by-downloads ou e-mails. Ao invés disso, os criminosos que movimentam as ações de Samsam utilizam ferramentas como o "Jexboss", para identificar servidores sem patches que executam produtos da empresa JBoss, da Red Hat. Uma vez que os atacantes obtiverem sucesso na entrada em um desses servidores, explorando vulnerabilidades no JBoss, eles passam a utilizar outras ferramentas e scripts disponíveis gratuitamente com o intuito de coletar credenciais e recolher informações sobre computadores em rede. Em seguida, eles implantam seu ransomware para criptografar arquivos nesses sistemas, antes mesmo de exigir um resgate.


    Saiba Mais:

    [1] Security Response - Symantec http://www.symantec.com/connect/blog...ted-ransomware
    + Enviar Comentário