O Cavalo de Tróia é uma ameaça que explora vulnerabilidades no mecanismo de patching.
Essencialmente, uma máquina recebe um update de software que é, na verdade, um ficheiro com linhas de malware inseridas no meio de linhas de um update de software. A Máquina, ao verificar que o código corresponde a código daquele software, vai aceitar a actualização, levando a consequências. A mais comum é ransomware no datacenter.
Quais são as etapas deste malware?
1. Os sistemas da empresa recebem uma notificação de actualização disponível para um determinado software ou firmware;
2. Os sistemas aceitam a actualizam e iniciam a sua instalação. O ficheiro de instalação contém uma percentagem de código legítimo e uma percentagem de código ilegitimo. Durante a suposta "atualização", é instalado malware;
3. O malware toma conta da máquina e inicia a rotina do Ransomware.
E como proteger-se?
O Webroot DNS vigia pedidos de rede na camada DNS, incluindo pedidos de IP. Ao monitorizar pedidos de IPs reportados como maliciosos, impedirá o tráfego. Neste caso, se o IP de origem for reportado como malicioso, o Webroot DNS interromperia o contacto e impediria que a actualização fosse recebida.
Em complemento ao passo anterior, se o ficheiro não for filtrado e exibir comportamento nocivo (fizer alterações na máquina), o Webroot Secure Anywhere detectará as alterações na utilização da memória, disco, processador ou ficheiros de registo do Windows, removendo o Virus/Ficheiro e revertendo as alterações que o virus tiver feito (RollBack).
No caso do ataque de Ransomware se desenrolar, a Endian UTM continua a analisar o tráfego de rede conforme comportamento e destino. Ao identificar sintomas como movimento lateral ou beaconing, interromperá o tráfego, interrompendo o ataque antes que o mesmo complete a sua sequência.
O Carbonite Endpoint é uma solução administrada centralmente que guarda uma cópia de segurança dos servidores e NAS que o parceiro definir, numa cloud própria. Permite restaurar ficheiros ou as pastas inteiras. Em caso de Ransomware, as informação dos servidores poderá ser restaurada de forma rápida e cómoda.
