Um novo ransomware foi revelado pela equipe de segurança da Microsoft, gigante da tecnologia. Supostamente, o ransomware seria implantado em ataques operados por humanos. Utilizando da “força bruta” contra o servidor de gerenciamento de sistemas da empresa-alvo e tendo como alvo essencial o setor de saúde em meio à crise do COVID-19.
Em 27 de maio, diversos tweets seguidos foram publicados pela gigante da tecnologia, Microsoft. De acordo com os tweets, o ataque chamado de “PonyFinal” – ataque de ransomware operado por humanos – exige que os hackers quebrem o esquema de segurança das redes corporativas para implantar o ransomware manualmente.
Isso significa que o PonyFinal não depende de enganar os usuários para iniciar a carga útil por meio de links ou e-mails de phishing.
Ataque de ransomware baseado em Java
O PonyFinal baseado em Java implementa um Java Runtime Environment, ou JRE. A Microsoft encontrou evidências que apontam para a ideia de que invasores usam as informações roubadas do servidor de gerenciamento de sistemas para atingir os pontos de extremidade em que o JRE já está instalado.
Além disso, a empresa também afirma ter descoberto que o ransomware é entregue por meio de um arquivo MSI. E neste arquivo, contém dois arquivos em lote, incluindo a carga útil que será ativada pelo invasor.
O diretor de pesquisa da Microsoft Threat Protection, Phillip Misner, esclareceu argumentando que existem outras campanhas de ransomware operadas por humanos. Tais como Bitpaymer, Ryuk, Revil e Samas. O PonyFinal em questão foi detectado no início de abril pela primeira vez.
Grupos de hackers atacam utilizando o PonyFinal
É importante ressaltar, que de acordo com o relatório publicado, os ataques não foram realizados por apenas um grupo. Tudo indica que vários hackers estão utilizando essa mesma forma de ransomware.
O analista de ameaças do laboratório de malware Emsisoft, Brett Callow, realizou alguns comentários sobre:
“O ransomware operado por humanos, como o PonyFinal, não é incomum e não é seu método de entrega que, de acordo com a Microsoft, é ‘através de ataques de força bruta contra o servidor de gerenciamento de sistemas da empresa-alvo’. Ataques em servidores voltados para a Internet não são incomuns e representam uma porcentagem significativa de incidentes de ransomware. Mas também são evitáveis, pois esses ataques normalmente são bem-sucedidos apenas devido a uma fraqueza ou vulnerabilidade na segurança”.
Callow acrescenta que as empresas podem reduzir significativamente com sucesso, a probabilidade de serem atacadas, se decidirem por aderir às práticas recomendadas. Estas são: usar autenticação multifatorial, aplicar patches rapidamente e desativar o PowerShell quando possível.
Ataques de ransomware em meio a pandemia
Os ataques de ransomware continuam sendo feitos em diferentes partes do planeta, mesmo em meio da crise do COVID-19, com muitas empresas-alvo de saúde.
As operadoras do Ryuk ransomware continuam alvejando hospitais. Além disso, alguns hackers conseguiram infectar a infraestrutura de TI do Fresenius, o maior hospital privado da Europa, na Alemanha, com um ransomware conhecido como Snake.
