Office 365: novo ransomware se disseminando neste ambiente
Nos últimos meses, os chamados ransomwares (programas que codificam dados e pedem resgate) tornaram-se uma ciber-ameaça generalizada destinada às empresas e consumidores, e um ataque maciço recente contra os usuários do Office 365 prova isso que mais uma vez.
O ataque começou em 22 de junho e durou mais de 24 horas, um relatório recente da empresa de cloud-security Avanan revela. Focado na segurança do Office 365, Box, Salesforce, Amazon AWS, e outras aplicações em nuvem, a empresa de segurança diz que este ataque maciço tinha como alvo os clientes que estavam usando o Office 365.
De acordo com a Avanan Steven Toole, os atacantes estavam usando o ransomware Cerber para infectar computadores da vítima e milhões de usuários do Office 365 provavelmente foram afetados.
Como muitas outras famílias de ransomware, Cerber criptografa os arquivos do usuário (como fotos, vídeos, documentos e outros tipos de arquivo) e exige um resgate a ser pago para restaurar os arquivos afetados.
Cerber se espalha como um documento malicioso anexado a e-mails de spam e utiliza várias técnicas de engenharia social para enganar os usuários para habilitar macros no Office para permitir que o código malicioso seja executado. Este método de ataque não é empregado por si só Cerber, embora o ransomware tem a sua característica única: depois de criptografia, que desempenha um arquivo de áudio para informar sua vítima da infecção. Ele exibe uma nota de resgate por escrito também.
A empresa de segurança afirma que cerca de 57 por cento das organizações que usam o Office 365 "receberam pelo menos uma cópia do malware em uma de suas caixas de correio corporativos" durante o ataque. No entanto, eles também notam que é bastante difícil de medir quantos usuários foram realmente infectados. A empresa também explica que a Microsoft foi capaz de bloquear o malicioso anexo um dia após o ataque começar.
O ransomware Cerber foi descoberto pela primeira vez em março e tem recebido uma série de atualizações para expandir sua funcionalidade. A ameaça foi observada em campanhas visando principalmente os Estados Unidos, Turquia e Reino Unido. Além disso, ele passou a ser aproveitado em ataques DDoS em maio, e foi percebido em morphing a cada 15 segundos (!!) no início deste mês, em uma tentativa de evitar a detecção - lembrando que o morphing é uma forma de se mudar o código do malware evitando "comparações por assinatura".
A Avanan diz que o ataque recém-observado empregou uma variação do Cerber observado em março, mas não forneceu detalhes adicionais sobre ele. No entanto, a empresa de segurança disse que o ransomware "foi amplamente distribuído e capaz de enganar as ferramentas de segurança internas do Office 365".
A empresa de segurança também observa que os antivírus tradicionais/aplicações anti-malware não foram capazes de detectar esse ataque justamente porque focaram usuários do programa de e-mail na nuvem.
"Muitos usuários de programas de e-mail na nuvem acreditam que terceirizaram tudo para a Microsoft ou Google, incluindo a segurança", explica Gil Friedrich, CEO da Avanan. "A realidade é que os hackers primeiro certificam-se que seu malware ultrapassam as medidas de segurança dos principais provedores de e-mail em nuvem e assim, a maioria dos novos malwares passam por eles e chegam ao usuário de forma a não ser detectado."
E desta forma, conseguem executar sua rotina nefasta e exigir resgate dos dados.
