De acordo com a Veeam, um pesquisador de segurança corporativa conseguiu encontrar um "kill switch" em algumas variantes do WannaCry, na forma de um domínio cliente/servidor que não tinha sido registrado pelo autor do malware. Registrar o domínio pareceu dar a essas variantes do malware o "dead letter box" que elas estavam procurando para desativar e cessar o ataque.

Após uma análise das táticas do WannaCry pela comunidade de segurança, a infecção se espalhava nas empresas usando conexões SMB. E, embora reparar a vulnerabilidade conhecida (já que o último reparo tinha acontecido há mais de um mês) ajude a conter a propagação do WannaCry, existem várias fontes de ransomware que podem infectar seus sistemas, como:

Trojans – Talvez o meio mais comum e a fonte de ataques de ransomware que mais temos notícias. Anexos de e-mail que contêm arquivos maliciosos é o método escolhido aqui.

Mídias removíveis – A fonte mais provável de infecções de ransomware da maioria dos malwares em uma corporação, seja ransomware ou algo mais perigoso. Especialmente para aquelas empresas que não restringem suas portas USBs. Cartões USBs e mídias removíveis são um meio bem simples de infectar um PC, já que os usuários geralmente confiam nesses dispositivos. Um estudo mostrou que, largar um dispositivo USB em lugares públicos é um jeito simples e efetivo de instigar a curiosidade humana, comprovado pelos 49% dos 'USBs de isca' que foram conectados a computadores por pessoas que os encontraram. Imaginem se eles fossem maliciosos?

Malvertising – Um aglomerado cheio de anúncios perigosos. Onde invasores comprometem a infraestrutura frágil de uma rede de anúncios on-line que distribui anúncios para sites legítimos. Assim, quando os usuários visualizam esses anúncios, geralmente em sites de notícias conhecidos, eles são usados para burlar os navegadores e baixar malwares através da página comprometida. Kits de ferramentas são usados com frequência como disseminadores do malware, que geralmente, dá controle total do endpoint contaminado aos criminosos virtuais.  O ransomware é apenas um dos resultados comuns desses ataques "watering-hole" ou "drive-by".

Mídias sociais e SMS – A predominância dos links abreviados usados nas plataformas de mídias sociais e em mensagens de texto SMS dá aos invasores um excelente mecanismo para distribuir ransomwares e malwares. Usuários raramente, ou nunca, verificam o destino dos links abreviados nas mídias sociais, SMS e até e-mails, e os invasores sabem disso. Soluções de segurança de 'link-follow' estão com a sua popularidade em alta, mas não tanto quanto desejado. O ransomware que ataca por meio de links abreviados; geralmente é baseado em JavaScript, e requer um pouco mais de atenção por parte dos usuários, em vez de apenas clicar no link.

Ransomware como Serviço – Sim, ele existe, como uma das muitas redes de 'Crime como Serviço'. (Sim, elas existem também). O RaaS permite que criminosos de todos os tipos se tornem criminosos virtuais, ao ponto de vermos uma queda nos crimes clássicos como assaltos, já que o RaaS é uma fonte de ransomware muito menos arriscada para eles.  RaaS e CraaS deram origem a vastas redes de afiliados também, onde o ransomware é fácil de implantar e gerenciar para quase qualquer um e onde o potencial de ganho é significativo. Eu uso esse exemplo para mostrar a sofisticação e motivação dos cibercriminosos por trás do ransomware. Ignore-o por sua conta e risco.

É comum pensarmos no ransomware como um ataque por e-mails ou baseado em Trojans e que esse geralmente é o método mais usado por ele, mas nós devemos notar que uma vez que o ransomware chega aos negócios, seus criadores vão tentar todos os métodos possíveis para garantir que ele se espalhe como uma praga assim que possível.

O que todos esses ataques e a amplitude das fontes de ransomware nos mostram é: ele é um ambiente vivo e hostil na supervia de informações e que, apesar de todo bem que fazemos, existem pessoas que querem violar, roubar e saquear nossos recursos. O ransomware é uma grande fonte de renda para eles, então, não espere que os ataques acabem do dia para a noite.

Fonte