O e-mail ainda é o principal mecanismo de distribuição para ataques de ransomware, mas “malvertising” também é uma ameaça crescente.

Ransomware está agora na mente de todos, graças ao recente ataque de malware global “Petya” ou “Nyetya” e ao ataque anterior do WannaCry. Ransomware – malware projetado para criptografar arquivos e apenas decifrá-los se a vítima pagar um resgate, geralmente no bitcoin de moeda digital – está sendo espalhado de várias maneiras, algumas das quais são difíceis de se defender.

Dan Siebert, um engenheiro de vendas interno para segurança no CDW, observou durante um recente webinar do CDW patrocinado pela Trend Micro, que os invasores do ransomware usarão uma variedade de táticas de evasão para evitar ser pego e manter ataques.

1. E-mail tradicional

Por exemplo, os invasores podem usar o protocolo Tor para ocultar sua localização. Ou eles podem usar o fluxo rápido, uma técnica de Sistema de Nomes de Domínio (DNS) usada por botnets para ocultar o phishing e o malware. Às vezes, os atacantes podem se envolver em “sombras de domínio” e criar um site falso dentro de um site legítimo que redireciona usuários para um site que lança malware. Ou eles podem atrair usuários para um site falso mascarado como um real.

Os ataques podem durar dois ou três dias ou uma semana, disse Siebert, e os atacantes precisam continuar se movendo para diferentes endereços IP e locais. Muitas vezes, ele disse, eles usarão um algoritmo gerador de domínio – uma equação que esmaga de novos domínios para os atacantes depois de fazer ping para servidores DNS. Alguns serviços, como o Cisco Umbrella, podem proteger os usuários dessas táticas, mas os invasores geralmente “sabem como continuar movendo sua infraestrutura” para manter os ataques.

No entanto, Siebert disse que 60 por cento do ransomware ainda está distribuído por meio de um e-mail, geralmente através de um arquivo incorreto, um documento do Microsoft Word ou um arquivo .ZIP. Siebert observou que o Relatório Anual de Segurança Cibernética 201S da Cisco Systems descobriu que 65% do tráfego de e-mail é spam e que cerca de 8 a 10% do spam global observado em 2016 poderia ser classificado como malicioso, o que aumentaria pelo menos um bilhão de mal-intenções E-mails, disse Siebert. Mesmo que os filtros de e-mail sinalizem o tráfego como spam mal-intencionado, os atacantes geralmente podem obter centenas de milhares de mensagens em poucos minutos.

“Seus colegas de trabalho, no final do dia, vamos colocar todos esses sistemas de TI no lugar, e eles serão o link mais fraco”, disse ele. “Porque o indivíduo na outra extremidade, não é um computador que está gerando esses e-mails. É uma pessoa real que fala ingles, quem conhece a TI, quem conhece a infra-estrutura e as coisas que você está colocando no lugar. Eles estão elaborando essa mensagem, eles estão criando esses arquivos para jogar sobre a natureza da pessoa que está recebendo esse e-mail “.

2. Malware escondido em anúncios on-line

Um ano atrás, disse Siebert, o e-mail representava 70 a 75% das transmissões de resgate. Cada vez mais, “malvertising”, ou malware escondido em anúncios on-line, está sendo usado para espalhar o ransomware, ele observou.

Os atacantes pagam anúncios legítimos, que, quando clicados, redirecionam os usuários para um servidor de exploração, o qual os redireciona para um servidor de gate. Os atacantes poderão então determinar o sistema operacional da vítima, o navegador e o status do plug-in. Usando essa informação, eles podem determinar as melhores vulnerabilidades para explorar e o melhor tipo de malware para executar.

“Muitos desses ataques vão começar a se mover mais para essa malversação, e é difícil para um cliente, é difícil para nós como um grupo de TI bloquear todos esses sites”, disse Siebert. O Google bloqueou 780 milhões de anúncios ruins em 2015 e 1,7 bilhões em 2016, mas Siebert disse que, até que as redes de publicidade on-line façam mais para bloquear anúncios mal-intencionados, o problema persistirá.

3. Ransomware como um serviço

O Ransomware como serviço, no qual os atacantes pagam por kits de exploração como Angler, Nuclear e Neutrino, permite que os hackers visem facilmente as vulnerabilidades de uma vítima e executem o ransomware, observou Siebert.

Eles então pagam um retrocesso ao designer do kit, geralmente 10 a 20 por cento do seu transporte total de resgate.

“Então, você tem os bandidos que estão programando a arquitetura e a infraestrutura na parte de trás, e você tem outros caras que querem apenas executar uma campanha”, disse ele.

Por: BizTech

Fonte: https://biztechmagazine.com/article/2017/07/3-main-ways-ransomware-spreads-2017