Atualização do Rakhni permite que ele escolha ser um ransomware ou cryptojacking.
No ranking dos malwares, já havíamos apontado que os ransomwares estão sendo ultrapassados pelos mineradores ilegítimos de criptomoeadas, conhecidos como cryptojacking.
Sintonizada com essa tendência, a família do Trojan-Ransom.Win32.Rakhni, recebeu uma nova roupagem que permite que ele decida se instala ou não um módulo de mineração de criptomoedas. Ou seja, dependendo das características do dispositivo, o módulo será ou não instalado.
Leia mais: Cryptojacking ultrapassa ransomware
As soluções da Kaspersky Lab detectaram o Rakhni na Rússia, Cazaquistão, Ucrânia, Alemanha e Índia. O malware é distribuído, principalmente, por meio de mensagens de spam com anexos maliciosos, que pode vir disfarçado de um documento financeiro, uma proposta orçamentária, pedido de compras etc. Isso indica que os “clientes” corporativos são os principais alvos dos cibercriminosos.
Quando um usuário tenta abrir um desses PDFs maliciosos, o sistema solicita permissão para rodar um arquivo executável de um fornecedor desconhecido. Com a permissão do usuário desatento e menos cuidadoso, o Rakhni entra em ação.
Como o Rakhini age
O arquivo PDF malicioso, quando iniciado parece ser um visualizador de documentos. Primeiramente, o malware mostra uma mensagem de erro para a vítima, explicando por qual motivo o arquivo não foi aberto. Em seguida, desabilita o Windows Defender e instala certificados digitais forjados. Se a “barra estiver limpa”, decide se criptografará os arquivos do dispositivo infectado para pedido de resgate ou se instalará um minerador. Mas não poderia ficar só nisso! Tem a rede local a qual ele tentará usar para atingir outros computadores.
O escolha entre criptografar ou minerar não tem segredo: se o malware encontrar no computador da vítima alguma pasta de arquivos chamada Bitcoin, optará pela instalação do ransomware. Os cibercriminosos prometem, gentilmente, a enviar os detalhes do resgate por e-mail, incluindo seu valor.
Caso contrário, se não existirem pastas relacionadas a Bitcoin no dispositivo, o malware entende que há energia suficiente para minerar criptomoedas, baixa um minerador que, clandestinamente, gera tokens de Monero, Monero Original ou Dashcoin em segundo plano.
Sem crises existenciais.
Como evitar ser vítima do Rakhini
Seja muito, muito cauteloso com mensagens recebidas, especialmente em relação àquelas que vêm de endereços de e-mail desconhecidos e pessoas com as quais você nunca teve contato. Na dúvida sobre abrir um documento, não o faça. Você deve fazer da sua dúvida o seu mecanismo de segurança. Além disso, preste muita atenção nos avisos que o sistema operacional dá quando algum programa é instalado. Não execute programas de fornecedores desconhecidos, sobretudo se os seus nomes forem parecidos com os de programas populares.
Para informações mais detalhadas: To crypt, or to mine – that is the question
Siga essas dicas para não permitir que mineradores e cryptors prejudiquem a sua empresa:
- Sua equipe de TI deve orientar todos os colaboradores a não abrir arquivos suspeitos anexados em mensagens eletrônicas. A simples dúvida é motivo suficiente para não abrir um arquivo deste tipo;
- Faça backups de dados sensíveis em um dispositivo de armazenamento que não esteja conectado na rede;
- Utilize soluções de segurança confiáveis, capazes de realizar análise comportamental – o Kaspersky Endpoint Security for Business, por exemplo;
- Procure por anomalias em sua rede corporativa regularmente.
