O ransomware atingiu 11,5% das organizações observadas em setembro de 2017, impulsionado por campanhas de spam distribuídas pela botnet Necurs.
| Componente | Ransomware Locky, campanhas de spam associadas à botnet Necurs e anexos maliciosos disfarçados como documentos Word ou arquivos Zip. |
| Vetor | Mensagens de spam entregam um downloader em anexo; a infecção depende da ativação de macros pelo usuário após engenharia social. |
| Impacto | Criptografia de arquivos do usuário e exigência de pagamento em bitcoin por meio de página acessada via Tor; em setembro, Locky impactou 11,5% das organizações observadas globalmente. |
| Prioridade | Reforçar bloqueio de anexos com macros, detecção comportamental de downloaders, proteção contra spam em massa e resposta específica para ransomware. |
| Artefatos | Roughted liderou o ranking global; Locky subiu 25 posições; Necurs apareceu na décima posição; Globeimposter, Conficker, Fireball, Pushdo, Zeus e Rig ek também foram citados no ranking. |
| Mitigação | Controlar macros, isolar mensagens suspeitas, monitorar criação rápida de arquivos criptografados, validar backups restauráveis e investigar tráfego associado a downloaders e comunicação de botnet. |
Locky voltou a ocupar posição de destaque no índice global de malware de setembro de 2017 após um aumento expressivo de campanhas de ransomware. A família não aparecia entre os dez malware mais prevalentes desde novembro de 2016, mas subiu 25 posições no período analisado e ficou atrás apenas da campanha de malvertising Roughted. O dado mais relevante para defesa é a escala: Locky impactou 11,5% das organizações observadas globalmente durante o mês, o que coloca uma família já conhecida novamente no centro do risco operacional.
A retomada foi associada ao uso da botnet Necurs, que também entrou no ranking mensal na décima posição. O papel de Necurs é relevante porque a distribuição de Locky depende fortemente de spam em massa e de anexos capazes de iniciar a cadeia de download. Essa combinação reduz a necessidade de exploração sofisticada no endpoint e aumenta a probabilidade de incidente quando controles de e-mail, macros, navegação e resposta a ransomware não estão integrados. Para equipes de segurança, o evento mostra que famílias antigas continuam perigosas quando recebem novo volume de entrega, ajuste evasivo ou suporte de infraestrutura automatizada.
Locky começou a circular em fevereiro de 2016 e se consolidou rapidamente como uma das famílias de ransomware mais conhecidas. O fluxo descrito envolve e-mails de spam com um downloader disfarçado como anexo Word ou Zip. Quando o usuário ativa macros embutidas, normalmente após uma instrução de engenharia social, o anexo baixa e instala o malware. Depois da execução, os arquivos do usuário são criptografados e uma mensagem orienta a vítima a acessar uma página por Tor para pagamento em bitcoin. O contexto também indica que, em junho de 2016, Necurs distribuiu uma versão atualizada de Locky com técnicas adicionais de evasão de detecção.
A cadeia de infecção observada para Locky começa antes do endpoint, no controle de mensagens. O operador usa spam para alcançar usuários em larga escala e anexa um arquivo que parece legítimo o suficiente para induzir abertura. O anexo não precisa conter o binário final do ransomware: ele funciona como downloader, o que permite mudar infraestrutura, carga final e características de detecção sem necessariamente alterar o tema da campanha. A etapa crítica é a ativação de macros. Sem essa ação, a cadeia descrita não avança para o download e instalação do malware.
Após a execução do downloader, o ransomware é instalado e inicia a criptografia dos arquivos do usuário. O impacto confirmado no contexto é a indisponibilidade dos dados locais afetados e a apresentação de uma instrução de resgate que direciona a vítima para Tor e cobrança em bitcoin. Não há base no contexto para afirmar exfiltração, movimentação lateral ou exploração de vulnerabilidade específica como parte dessa campanha. A prioridade defensiva, portanto, deve ficar no bloqueio da entrega por e-mail, na interrupção do downloader, na detecção de alterações massivas em arquivos e na contenção rápida do host afetado.
Necurs amplia o alcance da campanha porque opera como botnet de distribuição, especialmente para spam associado a ransomware e trojans bancários. O fato de Necurs ter aparecido no ranking do mês junto com o crescimento de Locky reforça a dependência entre infraestrutura de envio e volume de infecções. Em ambientes corporativos, isso desloca a análise de um único artefato malicioso para um conjunto de sinais: reputação e volume de remetentes, anexos recorrentes, documentos com macros, processos filhos iniciados por aplicativos de produtividade, downloads subsequentes e criação anormal de arquivos criptografados.
A superfície mais exposta é composta por usuários que recebem anexos externos, estáções Windows com abertura de documentos de escritório, controles permissivos para macros e ambientes sem isolamento eficaz de anexos. O contexto não identifica uma versão específica de sistema operacional, suíte de escritório ou produto vulnerável. A condição central é comportamental e operacional: o usuário precisa abrir o anexo e habilitar macros após a engenharia social. Isso torna treinamento útil, mas insuficiente quando não existe bloqueio técnico aplicado no gateway, no endpoint e nas políticas de execução.
O ranking também mostra um ecossistema de ameaças diversificado no mesmo período. Roughted apareceu como campanha de malvertising de grande escala, capaz de entregar golpes, adware, exploit kits e ransomware, usando fingerprinting e evasão de bloqueadores de anúncios para escolher ataques mais adequados. Globeimposter também foi citado como ransomware distribuído por spam, malvertising e exploit kits, com extensão.crypt nos arquivos criptografados. Conficker, Fireball, Pushdo, Zeus e Rig ek completam um cenário em que spam, navegador, exploração de plug-ins, trojans bancários e downloaders coexistem na mesma superfície corporativa.
No recorte móvel, Triada apareceu em destaque entre ameaças Android, seguida por Hiddad e Gooligan no ranking mencionado. Triada é descrito como backdoor modular para Android capaz de conceder privilégios de superusuário a malware baixado e de se inserir em processos do sistema. Hiddad é descrito como malware que reempacota aplicativos legítimos para distribuição em lojas de terceiros, com foco em publicidade e acesso a detalhes sensíveis de segurança do sistema operacional. Lotoor também é descrito como ferramenta que explora vulnerabilidades Android para obter privilégios de root em dispositivos comprometidos.
- Usuários que recebem e abrem anexos Word ou Zip de mensagens externas ficam no ponto inicial da cadeia de Locky.
- Ambientes que permitem macros em documentos recebidos por e-mail têm maior exposição ao downloader descrito.
- Estáções sem detecção comportamental podem perder a etapa intermediária entre abertura do anexo, download do malware e criptografia.
- Dispositivos Android fora de lojas oficiais ou sem controle de aplicativos ficam mais expostos a ameaças como Triada, Hiddad e Lotoor.
A investigação deve começar em e-mail e endpoint, porque a cadeia de Locky descrita depende de spam com anexo e execução de macro. Em gateways, procure ondas de mensagens semelhantes, anexos Word ou Zip com padrões repetidos, remetentes de baixa reputação, campanhas entregues a múltiplos usuários e mensagens que incentivem a habilitação de conteúdo ativo. No endpoint, a atenção deve recair sobre aplicativos de produtividade iniciando processos incomuns, criação de conexões logo após abertura de documento e downloads subsequentes iniciados por processos que normalmente não deveriam buscar executáveis externos.
Durante a fase de impacto, a telemetria mais útil envolve alterações rápidas em grande quantidade de arquivos, criação de extensões ou nomes inesperados, mensagens de resgate, tentativa de abrir instruções relacionadas a Tor e aumento de erros de acesso a arquivos em compartilhamentos. O contexto não fornece hash, domínio, endereço IP ou nome de arquivo específico; por isso, a caça deve privilegiar comportamento e sequência temporal, não apenas indicadores estáticos. Bloqueios por assinatura continuam úteis, mas a volta de uma família antiga com atualização de evasão torna arriscado depender somente de nomes conhecidos.
Para Necurs, a observação deve cobrir picos de spam, máquinas internas que apresentem comportamento compatível com envio anormal de mensagens, reputação de origem e recorrência de campanhas que entregam ransomware ou trojans bancários. Para Roughted e Rig ek, a telemetria de proxy e navegador deve registrar redirecionamentos, páginas de destino suspeitas, tentativas de fingerprinting, contato com conteúdo publicitário malicioso e acesso a plug-ins vulneráveis como Flash, Java, Silverlight e Internet Explorer, conforme descrito para a cadeia do exploit kit.
- Mensagens com anexos Word ou Zip recebidas em massa e com instruções para habilitar macros.
- Processos de aplicativos de escritório criando processos filhos incomuns ou iniciando downloads externos.
- Criptografia rápida de arquivos de usuário e surgimento de instruções de resgate associadas a pagamento em bitcoin via Tor.
- Picos de spam relacionados a Necurs e campanhas que entregam ransomware ou trojans bancários.
- Redirecionamentos de malvertising, fingerprinting de navegador e contato com páginas de exploit kit em logs de proxy.
A resposta deve priorizar a interrupção da cadeia antes da execução. Bloqueie ou coloque em quarentena anexos com macros vindos de remetentes externos, aplique políticas que impeçam macros em documentos baixados da internet e monitore exceções concedidas a usuários ou departamentos. Onde macros forem necessárias por processo de negócio, restrinja por assinatura, origem confiável e necessidade real. Essa medida reduz diretamente a condição de ativação descrita para Locky, sem depender de reconhecimento perfeito do binário final.
No endpoint, combine bloqueio comportamental, controle de execução e capacidade de isolamento. Um evento compatível com Locky deve acionar contenção do host, preservação de evidências, coleta de artefatos de e-mail e revisão de processos iniciados pelo documento. A restauração precisa depender de backups testados e separados do ambiente afetado; pagar resgate não deve ser tratado como controle de recuperação. Também é importante validar se compartilhamentos de arquivos acessíveis pelo usuário foram atingidos, pois a criptografia de dados locais e acessíveis pode ampliar o impacto operacional mesmo sem evidência de movimentação lateral.
A mitigação mais ampla deve tratar o ranking como sinal de risco por classe, não apenas por uma família. Roughted exige controles de navegação, bloqueio de malvertising e endurecimento de plug-ins. Globeimposter reforça a necessidade de resposta a ransomware além de Locky. Conficker e Pushdo indicam risco persistente de máquinas antigas ou mal geridas participarem de operações remotas e download de malware. Zeus exige proteção contra roubo de dados bancários por navegador. Em Android, a defesa deve restringir lojas de terceiros, revisar permissões, monitorar aplicativos reempacotados e tratar privilégios de root não autorizados como indicador de comprometimento.
- Desabilitar macros por padrão para documentos recebidos da internet e permitir exceções apenas por necessidade documentada.
- Isolar rapidamente estáções com criptografia anormal de arquivos ou mensagem de resgate.
- Revisar logs de e-mail para identificar todos os destinatários da mesma campanha de spam.
- Validar restauração de backups e separar cópias de recuperação dos compartilhamentos acessíveis por usuários comuns.
- Endurecer navegação, plug-ins e controle de aplicativos para reduzir exposição a malvertising, exploit kits e malware Android.
0 Comentários