O ransomware RobbinHood vem com um driver vulnerável e outro malicioso que tem como único propósito derrubar as defesas. O malicioso contém apenas código para 'matar', nada além disso. Então mesmo que o usuário tenha um computador com o sistema operacional Windows atualizado e sem vulnerabilidades conhecidas, o próprio ransomware fornece uma entrada ao invasor que o permite destruir as defesas antes de atacar.

"Nossa análise dos ataques de ransomware mostra o quão rápida e perigosamente a ameaça continua a evoluir", disse Mark Loman, diretor de engenharia da Sophos. "Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares. Desativar a proteção deixa o malware livre para instalar e executar o ransomware sem interrupções", completa o executivo.

Para evitar ataques como estes, a Sophos recomenda uma abordagem em três etapas. Primeiro, uma vez que o ransomware dos ataques analisados utiliza múltiplas técnicas e táticas, os defensores precisam utilizar uma série de tecnologias para atrapalhar o máximo possível de etapas do ataque, integrar a nuvem pública em sua estratégia de segurança e ativar funcionalidades importantes, incluindo proteção contra adulteração, no software de proteção de terminais.

Em segundo lugar, aplicar fortes práticas de segurança como autenticação multifatorial, senhas complexas, direitos de acesso limitados, atualizações constantes, backup de dados e bloquear serviços de acesso remoto vulneráveis. Por último, mas não menos importante, continuar investindo em treinamentos de segurança para os funcionários.

Para saber mais sobre os ataques e como o RobbinHood funciona, acesse o estudo 'Living off another land: Ransomware borrows vulnerable driver to remove security software'.

Sobre a Sophos

Como líder mundial em cibersegurança de próxima geração, a Sophos protege, das ameaças cibernéticas mais avançadas de hoje, aproximadamente 400.000 organizações de todos os tamanhos, em mais de 150 países. Desenvolvidas pelo SophosLabs - uma equipe global de inteligência de ameaças e ciência de dados - as soluções nativas de nuvem e aprimoradas por IA da Sophos protegem terminais (laptops, servidores e dispositivos móveis) e redes contra táticas e técnicas cibercriminosas em evolução, incluindo violações automatizadas e de adversários ativos, ransomware, malware, explorações, extração de dados, phishing e muito mais. A plataforma premiada baseada em nuvem, Sophos Central, integra todo o portfólio de produtos de primeira linha da Sophos, da solução Intercept X endpoint até a XG Firewall, em um único sistema chamado Segurança Sincronizada. Os produtos da Sophos estão disponíveis exclusivamente através de um canal global, com mais de 47.000 parceiros e provedores de serviços gerenciados (MSPs). A Sophos também disponibiliza inovadoras tecnologias comerciais aos clientes via Sophos Home. A empresa tem sede em Oxford, Reino Unido, e é negociada publicamente na Bolsa de Londres sob o símbolo "SOPH". Mais informações disponíveis em www.sophos.com.