A Kaspersky alertou para a presença de uma nova e sofisticada variante do ransomware Mimic, batizada de Elpaco, que possui recursos avançados para desativar medidas de segurança e destruir backups. Identificada pela Equipe Global de Resposta a Emergências da Kaspersky (GERT), a ameaça foi registrada em diversos países, incluindo Estados Unidos, Rússia, Países Baixos, Alemanha e França, além de outros locais como Canadá e Coreia do Sul.
O ransomware Elpaco se infiltra em sistemas via Remote Desktop Protocol (RDP), após um ataque de força bruta bem-sucedido. Uma vez dentro do servidor da vítima, o malware desativa as proteções de segurança, como o Windows Defender, e começa a criptografar arquivos críticos, tanto em unidades locais quanto em compartilhamentos de rede conectados.
O Elpaco utiliza uma combinação de ferramentas maliciosas e programas legítimos para garantir persistência e controle sobre o sistema afetado. A ameaça se torna ainda mais complexa por empregar um utilitário de busca de arquivos aparentemente inofensivo, mas que facilita a localização de dados essenciais para criptografar.
Impacto e consequências
O ransomware não apenas criptografa dados importantes, mas também destrói backups e impede a recuperação das informações, deixando uma nota de resgate. Segundo Cristian Souza, Especialista em Resposta a Incidentes do GERT da Kaspersky no Brasil, o Elpaco foi projetado para garantir sua operação contínua com modificações no registro e técnicas de evasão para dificultar sua detecção. “Seu foco em criptografar dados essenciais do usuário, deixando intactos arquivos críticos do sistema, garante que o dispositivo da vítima continue funcional, facilitando o pagamento do resgate”, comentou Souza.
Recomendações para proteção
A Kaspersky orienta organizações e usuários a adotarem medidas de segurança robustas para prevenir ataques como o Elpaco:
- Atualização regular de sistemas operacionais, aplicativos e softwares de segurança para corrigir vulnerabilidades.
- Capacitação de funcionários para identificar táticas de engenharia social utilizadas em ataques.
- Backups periódicos de dados e sistemas críticos para minimizar os danos em caso de infecção.
- Soluções avançadas de segurança para endpoints, como o Kaspersky Next EDR Foundations, que ajudam a detectar e prevenir ameaças.
- Acesso contínuo a Inteligência de Ameaças para obter informações cruciais e aprimorar a resposta a incidentes.
A variante Elpaco é uma ameaça significativa, especialmente para empresas que dependem de dados críticos. A combinação de técnicas avançadas de evasão, como desativação de antivírus e criptografia de arquivos importantes, exige que as organizações invistam em soluções de segurança e processos de recuperação eficientes para mitigar o impacto de ciberameaças.
