No começo dessa semana, o FBI publicou um alerta sobre o crypto-ransomware SAMAS, que apresenta uma grande ameaça a empresas por suas rotinas maliciosas – especificamente sua capacidade de criptografar arquivos, não apenas dos sistemas que ele infecta, mas também os compartilhados na rede da empresa afetada. Essa ameaça também vai atrás de backups armazenados na rede, uma clara tentativa de minar as recomendações comuns para lidar com o ransomware: não pagar o resgate e implementar uma estratégia de backups regulares.
Em um ambiente empresarial esse é um alerta que deve ser atendido. O SAMAS (que a Trend Micro detecta como RANSOM_CRYPSAM.B) tem a capacidade de criptografar arquivos nas redes, o que significa que ameaça infectar não só a base de dados de arquivos da empresa inteira, como também os backups armazenados na rede.
O aviso também diz que os atores da ameaça, que estão usando o SAMAS, também estão se aproveitando da habilidade do malware de ordenar uma infiltração persistente para “localizar e apagar manualmente” os backups mencionados, forçando assim o dono a pagar ou arcar com o prejuízo da perda de dados críticos para a empresa.
Mais um detalhe digno de nota sobre o SAMAS, como observado pela Microsoft TechNet, é como suas rotinas espelham perfeitamente as de um ataque direcionado típico: ele usa componentes maliciosos para fazer testes de penetração contra os servidores alvos e também verifica vulnerabilidades em sua busca para se infiltrar. Porém, a partir daí ele se comporta como um ransomware típico, criptografa arquivos e exige um resgate pago em bitcoins.
As soluções de endpoint da Trend Micro como as Trend Micro™ Security, Smart Protection Suites e Worry-Free™ Business Security podem proteger usuários e empresas contra essa ameaça. Políticas de senhas rigorosas e a desativação do carregamento automático de macros nos programas Office, juntamente com cronogramas de patching regulares também estão entre as maneiras testadas para manter longe os ransomware. Apesar dessa tentativa da ameaça de inutilizar os backups de arquivos, essa ainda é uma defesa eficaz.
É importante notar que para os backups, a regra de backup 3-2-1 ainda vale: mínimo de três cópias de backup, de preferência em dois formatos diferentes, e uma dessas cópias armazenadas em redes fora do local/air-gapped.
