11 ago Akira: Ransomware usa software de CPU para sequestrar dados
Pesquisadores da Guidepoint Security descobriram um novo golpe para assolar os entusiastas, o Akira ransomware, que tem mirado no protetor supremo do Windows: o Microsoft Defender. O mais curioso desse novo ataque é que ele usa o ThrottleStop, um popular software para ajustar o desempenho da CPU.
Como todo ransomware, a ideia dos cibercriminosos é realizar a criptografia nos arquivos de um sistema. Depois que tudo estiver embaralhado e praticamente impossível de acessar por métodos convencionais, é cobrado um tipo de resgate para que a empresa ou usuário afetado recupere os arquivos.
Saiba mais: Hacker vende dados de clientes da Monetizze, empresa nega
O Akira foi reportado pela Guidepoint, quando a agência de segurança cibernética notou inúmeros abusos citados desde 15 de julho.
Como funciona o Akira ransomware?
O primeiro passo para ser infectado pelo ransomware Akira é utilizar o software ThrottleStop, compatível somente com CPUs da Intel. Dessa forma, se você não possui um processador da marca ou sequer utilizar uma aplicação como essa, deve estar a salvo desse golpe.
Se a vítima não paga, os arquivos permanecem criptografados e inacessíveis (Imagem: GettyImages)
Para ser alvo de um ransomware, o usuário geralmente acaba clicando em algum link malicioso, ou os criminosos aproveitam alguma brecha em softwares. Uma vez no sistema, o Akira implanta o driver rwdrv.sys, que é uma ferramenta legítima e assinada digitalmente pela Intel, usada pelo programa ThrottleStop.
A partir daí, o ataque torna esse drive rwdrv.sys o serviço do sistema com mais privilégios no Windows. Com esse acesso VIP, o driver malicioso chega até o kernel, ou seja, o grande núcleo do Windows, e de lá ele pode fazer basicamente qualquer coisa.
Abate ao Windows Defender
Já que o ransomware tem um bom controle sobre o sistema, esse atacante injeta um novo driver malicioso na plataforma, chamado de hlpdrv.sys. Essa aplicação recebe todas as regalias da anterior, mas tem uma missão única: alterar o Registro do Windows, onde estão configurações cruciais do sistema.
O hlpdrv.sys nem precisa fazer muita coisa, e basta mudar o valor de um processo para desligar completamente o Microsoft Defender. Comumente confundido com o clássico Windows Defender, o Microsoft Defender é outro aplicativo de segurança da empresa e geralmente está incluso no pacote 365 para proteger o usuário.
Escudos caídos
Com as principais defesas do Windows completamente desativadas, e ambos os drivers maliciosos com permissões de alto nível no sistema, é hora do ransomware agir realmente. Nessa etapa, já não há mais como impedir o roubo de dados.
Entenda: Apps que geram nudes falsos com IA viram febre entre adolescentes britânicos
O Akira começa a criptografar todos, ou os principais, arquivos da vítima, sejam eles documentos, imagens, vídeos, softwares, etc. Após criptografar tudo, o agente deixa uma mensagem na tela para avisar sobre o roubo das informações e exigir o resgate desses documentos — quase sempre por grandes quantias de dinheiro.
Cronologia do ataque:
Usuário utiliza o software ThrottleStop em seu computador;O ransomware Akira invade o sistema por meio do driver malicioso rwdrv.sys;O agente rwdrv.sys ganha altas permissões de sistema e acessa o kernel do Windows;Mais um driver malicioso é implantado na máquina;Esse segundo driver altera valores no Registro do Windows e desativa o Microsoft Defender;Sem defesas disponíveis, o Akira começa a criptografar os arquivos da vítima.
Akira teria atacado VPNs da SonicWall
Além de explorar vulnerabilidades nesses apps mais comuns, o ransomware Akira estaria por trás de um ataque à rede de VPNs da SonicWall. Os especialistas da Guidepoint Security não puderam confirmar essa violação, mas o ataque foi realizado por meio de uma falha ainda não identificada.
Em resposta aos relatos do ataque, a SonicWall recomendou que seus usuários ativassem a autenticação de dois fatores. Outra medida indicada era ativar a proteção Botnet/Geo-IP, que permite o acesso de endereços de IP conhecidos por estarem ligados a atividades maliciosas ou de países específicos.
Software para optimização de SEO também é usado como isca para implantar o Akira ransomware (Imagem: The DFIR Report)
O relatório da empresa também explica que o Akira ransomware está relacionado a ataques em softwares da MSI, popular empresa de hardware que trabalha com alguns aplicativos. Neste caso, os cibercriminosos usam instaladores falsos da empresa para injetar o loader Bumblebee em computadores.
Um loader, como o Bumblebee, é um malware que injeta outro malware no sistema, como se estivesse depositando um embrião no corpo. Após ser infectado, o malware se comunica com o criminoso por um servidor C2 e ambos ativam uma conexão permanente com a máquina, para ficarem conectados mesmo após sua inicialização.
Em até 44 horas, tempo que os cibercriminosos levam para identificar os documentos do computador, a máquina tem seus arquivos completa ou parcialmente criptografados pelos golpistas.
Como se proteger do Akira ransomware?
Apesar do alto grau de complexidade do ataque, os pesquisadores da Guidepoint desenvolveram uma forma de identificar esse problema. Os especialistas criaram uma ferramenta YARA que identifica os drivers maliciosos da Akira em qualquer computador.
Leia também: Deputados do PL têm sites hackeados por grupo antifascista
A YARA é uma ferramenta de segurança usada para identificar e classificar amostras de malware. Com ela conectada ao malware, analistas de segurança podem executar essa regra em determinados sistemas para ver se o ransomware ou somente o driver está presente na máquina.
Para mais informações sobre ransomwares e segurança, fique de olho no TecMundo para não perder nada.