Tudo o que você precisa saber sobre o novo ransomware: Emotet 101.

De acordo com o relatório “The State of Ransomware 2020” da Sophos, 51% das organizações foram atingidas por ataques de ransomware no ano passado, e o custo médio para remediar um ataque atingiu US $ 761.106,00 globalmente.

Embora existam vários tipos de ransomware, uma das versões mais proeminentes e perigosas é o Emotet.

O que é Emotet?

O Emotet é um Trojan disponível por meio de um modelo de malware como serviço (MaaS).

Isso significa que os cibercriminosos podem baixar um pacote, geralmente por algumas centenas de dólares ou uma taxa de assinatura mensal, e realizar ataques diretos a empresas e indivíduos.

A carga inicial – que normalmente é entregue por e-mail, documentos infectados ou sites – libera um script, macro ou código que opera como um worm que infecta vários aplicativos de software e sistemas.

Ele é altamente eficaz porque baixa continuamente os componentes do malware à medida que avança pelos sistemas. Muitas ferramentas de segurança convencionais, como firewalls, não são eficazes contra ele porque o Emotet cria canais criptografados que as defesas da rede não podem detectar.

 

Então, depois que o trojan captura e criptografa os arquivos, os ladrões cibernéticos exigem um resgate, geralmente pago por meio de moedas cibernéticas não rastreáveis, como o Bitcoin.

Surpreendentemente, “os cibercriminosos operam a Emotet de maneira muito semelhante a uma empresa, inclusive oferecendo suporte ao cliente”, diz John Shier, consultor de segurança sênior da Sophos.

 

Como é um ataque de Emotet?

Normalmente, o ataque ocorre quando alguém clica em um link de um e-mail, geralmente por meio de phishing, que direciona o usuário a um site ou serviço que baixa o “conta-gotas” inicial.

Depois que essa macro ou código reside em um computador, ele começa a procurar outros dispositivos conectados e se espalha, distribuindo ainda mais o malware. Frequentemente, ele usa o Microsoft Outlook para gerar e-mails.

 

Conforme o Emotet infecta os sistemas, ele conduz ataques de força bruta às contas, buscando quebrar senhas e obter acesso a dados seguros.

Em algum ponto, ele captura e criptografa esses arquivos. Assim que os cibercriminosos mantêm os dados criptografados – e a empresa é bloqueada -, eles exigem um resgate.

O preço pode variar de alguns milhares de dólares a milhões de dólares. De acordo com o relatório da Sophos, 94% das organizações finalmente recuperam o controle de seus dados, mas a um custo médio de US$ 732.520,00 por incidente.

 

Por que o Emotet é tão eficaz?

O Emotet existe em várias versões diferentes e incorpora um design modular. Isso torna-o mais difícil identificar e bloquear. Ele usa técnicas de engenharia social para entrar nos sistemas e evitar detecção.

Além do mais, as campanhas da Emotet estão em constante evolução. Algumas versões roubam credenciais bancárias e dados corporativos altamente confidenciais, que os cibercriminosos podem ameaçar divulgar publicamente.

 

Um e-mail inicial pode parecer ter sido originado de uma fonte confiável, como um gerente ou alto executivo da empresa, ou pode oferecer um link para o que parece ser um site ou serviço legítimo.

Geralmente, o ataque depende de técnicas de compactação de arquivos, como ZIP, que espalham a infecção por meio de vários formatos de arquivo, incluindo .doc, docx e .exe. Isso oculta o nome real do arquivo conforme ele se move dentro de uma rede.

 

Esses documentos podem conter frases como “detalhes de pagamento” ou “atualize seu arquivo de recursos humanos”. Algumas mensagens recentemente giraram em torno do COVID-19.

Eles geralmente chegam de um endereço de e-mail legítimo dentro da empresa – e podem incluir arquivos infectados e benignos. Além do mais, o Emotet pode detectar o ambiente em que está sendo executado. Por exemplo, ele sabe quando reside dentro de uma máquina virtual (VM) e permanece inativo para evitar a detecção de scanners de malware.

Emotet usa servidores de comando e controle (C2) para receber atualizações clandestinamente. Isso permite que os invasores atualizem o código do malware e instalem outros Trojans. Também é possível limpar um computador, mas depois o malware reaparece.

 

Como combater o Emotet?

Existem várias maneiras de reduzir o risco de infecção. Primeiro, é aconselhável implantar um software de segurança que identifique e bloqueie e-mails potencialmente perigosos. Também é fundamental proteger todos os dispositivos gerenciados e não gerenciados que se conectam à rede. Outras proteções incluem senhas fortes e autenticação multifator, patch consistente e o uso de software de inteligência de ameaças. Finalmente, os funcionários devem aprender como identificar e-mails suspeitos.

 

Fonte: https://www.darkreading.com/edge/theedge/emotet-101-how-the-ransomware-works—-and-why-its-so-darn-effective/b/d-id/1339124