Não o bom robozinho alienígena, mas o ataque Bumblebee, entenda como ele ocorre, quais os seus riscos e como se proteger
Conteúdo produzido por Eber Souza
Você deve estar se perguntando, Bumblebee? Aquele personagem fictício presente em várias versões do filme Transformers, robôs alienígenas capazes de se transformar em veículos, armas e máquinas diversas.
Ao contrário do que você deve estar imaginando, “o novo queridinho” está bem longe de ser o velho bom robozinho alienígena dos filmes. De fato, ele não é seu amigo.
De acordo com pesquisas recentes em segurança cibernética, o Bumblebee é agora um queridinho no ecossistema de ransomware. Desenvolvido recentemente, o Bumblebee é um malware capaz de fornecer a um cibercriminoso um backdoor para o PC, permitindo assumir o controle das operações, executar comandos, e, consequentemente, coletar informações da máquina durante um ataque. Em seguida, o quantum ransomware entra em ação criptografando a máquina da vítima.
Como acontece o ataque Bumblebee
Na prática, o Bumblebee trabalha como um downloader a fim de executar códigos maliciosos facilitando o carregamento de meterpreter, DLL injection, Shell-code injection e Cobalt Strike.
O e-mail phishing continua sendo o método mais comum, utilizado por gangues de ransomware, para fisgar suas vítimas. Por exemplo, um e-mail disfarçado de DocuSign em nome de uma empresa de soluções de assinatura eletrônica, anexos HTML ou links fraudulentos redirecionando a vítima para download de um arquivo ISO infectado com o malware Bumblebee, são táticas utilizadas para seduzir um usuário descuidado.
Atualmente, nomes de usuários e senhas, especialmente aqueles utilizados para o acesso a aplicativos e serviços baseados em nuvem, são os principais alvos buscados pelos cibercriminosos.
O perigo do ataque Bumblebee
O comprometimento dos dados de acesso, “usuário e senha” de um usuário, além de conceder o acesso a rede, dá ao cibercriminoso o acesso legítimo ao ambiente, tornando suas atividades difíceis de serem detectadas; e na maioria das vezes, quando é detectada as atividades fraudulentas, é tarde demais, o ransomware já está em operação no ambiente.
Os malwares atuam de várias formas e usam inúmeros métodos de infecção para se espalhar. Por exemplo, através de anexos de e-mail, sistema de arquivos de rede ou vulnerabilidades técnicas exploráveis.
Porém, todos apresentam objetivos em comum: de conceder ao invasor o controle do computador remotamente, roubar informações, causar danos aos dados e infecção de um computador por vírus.
Categorização dos malwares
Dentre as variadas formas de categorizar um malware, podemos classificá-lo pela forma como se espalha e pelo estrago que faz após infectar o alvo.
Pela forma como se espalha, temos:
- Vírus: código malicioso que se insere dentro de programa ou arquivo, a fim de se espalhar de um computador para o outro. É importante notar que um vírus depende da ação humana para se disseminar.
- Worm: código malicioso semelhante a um vírus, considerado como uma subclasse de um vírus, que se espalham de computador para computador, porém, diferentemente do vírus, ele não depende de nenhuma ação humana para se disseminar.
- Trojan: um programa altamente destrutivo que se apresenta como uma aplicação genuína. Ao contrário do vírus, os trojans não se replicam. Eles são capazes de abrir entradas backdoors permitindo o acesso ao sistema operacional.
Além disso, um malware pode ser instalado manualmente por um invasor para obter o acesso físico ou remoto com privilégios administrativos.
A outra forma de categorizar um malware é pelo tamanho do estrago que ele faz. Há uma variedade de potenciais técnicas de ataque utilizadas, como:
- Spyware: utilizado com a finalidade de coletar dados de um usuário descuidado de forma secreta. Na maneira prática, ele espiona o comportamento do usuário, no envio e recebimento de dados, para compartilhamento destes dados com terceiros.
- Rootkit: um tipo de malware que afeta os softwares e sistema operacional, e pode também afetar o hardware e o firmware de um computador. O Rootkit tem como característica se manter escondido quando ativo, a fim de obter o acesso não autorizado e o roubo de informações pessoais e financeiras.
- Adware: outro tipo de malware capaz de forçar o seu navegador a redirecionar para anúncios da Web. Na maioria das vezes, se apresentam como softwares gratuitos, como jogos, extensões de navegador, e dentre outros.
- Cryptojacking: malware de mineração de criptomoedas que infecta um computador para uso dos ciclos de CPU para mineração de bitcoin e lucratividade do invasor.
- Malvertising: tipo de malware voltado para anúncios ou redes de anúncio. Na prática, o criminoso utiliza um site legítimo para induzir os usuários instalarem softwares maliciosos ou redirecionar os usuários para site fraudulentos.
- Ransomware: tipo de malware capaz de criptografar os dados do usuário, e, em troca, exigir uma quantia em dinheiro, geralmente em criptomoedas, em troca do acesso à chave para descriptografar os dados.
Como se proteger
A prevenção é o caminho para o sucesso.
Separamos algumas recomendações práticas:
- Ter o mais sofisticado anti-malware e anti-spyware implantado no ambiente não é o suficiente. É fundamental mantê-los atualizados para que possam ser capazes de detectar mais facilmente as ameaças;
- Não utilize contas com privilégios administrativos para atividades comuns. Utilize o acesso privilegiado apenas quando for necessário;
- Limite o acesso. Estabeleça a regra baseada no princípio de que “Tudo é proibido a menos que expressamente permitido” no lugar da regra mais liberal onde “Tudo é permitido, a menos que expressamente proibido”;
- Treine seus usuários. Um bom programa de conscientização sobre as boas práticas e uso da internet, por exemplo, não abrir um anexo de e-mail desconhecido, irá contribuir para o aumento da segurança no ambiente;
- Faça o backup dos dados e sistemas essencias ou confidenciais. Importante: os backups não serão úteis nos casos em que o ransomware extrai os dados para seu próprio servidor. Para evitar isso, considere ter um software data loss prevention (DLP).