Por redação AIoT Brasil

Uma nova variante do ransomware Mimic é capaz de interromper as operações de dispositivos, eliminar dados de backup e bloquear o acesso às ações de recuperação, deixando uma nota para exigir pagamento de resgate. Chamado de Elpaco, o ransomware possui recursos avançados de personalização e a capacidade de desativar mecanismos de segurança.

O alerta foi feito pela equipe global de resposta a emergências da empresa de cibersegurança e privacidade Kaspersky, que explicou: “Os invasores conseguem se conectar via Remote Desktop Protocol (RDP), um protocolo que permite ao invasor se conectar de forma remota ao servidor da vítima depois de um ataque de força bruta bem-sucedido, para então executar o ransomware”.

Segundo a Kaspersky, o Elpaco utiliza uma série de ferramentas maliciosas e utilitários legítimos, o que lhe permite desativar as defesas do sistema, criptografar arquivos e realizar ações para garantir a persistência. Além disso, criptografa arquivos críticos em unidades locais e de rede para, em seguida, extorquir as empresas.

“Essa variante do Mimic é um programa muito avançado que ataca sistemas Windows e utiliza uma combinação de ferramentas maliciosas e programas legítimos para tomar o controle do equipamento afetado”, disseram os analistas de cibersegurança. O processo começa com um arquivo autoextrator que contém várias ferramentas, entre as quais um utilitário de busca que parece inofensivo, mas ajuda o malware a encontrar arquivos importantes mais rapidamente. Depois desativa as proteções de segurança do sistema, como o Windows Defender, e começa a criptografar os arquivos importantes, tanto no computador quanto nos compartilhamentos de rede conectados.

A variante foi detectada em países como Estados Unidos, Rússia, Holanda, Alemanha, França, Canadá, Romênia e Coreia do Sul e pode atingir tanto indivíduos quanto empresas. Para se defender do Elpaco, a Kaspersky sugere medidas de proteção robustas, entre as quais a detecção em endpoints, monitoramento avançado de comportamento e backups regulares.

Também recomenda iniciativas como a atualização dos sistemas operacionais, dos aplicativos e do software de segurança com patches periódicos, a capacitação dos funcionários para que não executem arquivos maliciosos, a instalação de backups periódicos de dados e sistemas críticos e a implantação de soluções de segurança para endpoints equipadas com capacidades avançadas de detecção e prevenção de ameaças.