A empresa de cibersegurança SquareX alertou para um nova variante de ransomware nativo de navegadores web (browsers). O ciberataque representa um risco significativo para milhões de usuários de internet em todo o mundo.
Historicamente, o ransomware só ataca os dispositivos de forma direta, criptografando os arquivos das vítimas e exigindo um pagamento de resgate para liberá-los.
No entanto, à medida que a confiabilidade na nuvem e nos serviços SaaS aumentam, o browser (navegador) veio à tona como principal alvo. Vale destacar que os browsers atuam como o principal condutor para que funcionários realizem suas atividades e acessem recursos baseados na web, transformando-os no epicentro de potenciais ciberataques.
De acordo com Vivek Ramachandran, fundador da SquareX,
“Com o recente aumento de ataques de identidade baseados em navegador, como o que vimos no ataque OAuth da Chrome Store, estamos começando a ver evidências dos ‘ingredientes’ de ransomwares nativos de navegador sendo usados por adversários.”
Ramachandran também destaca o caráter cada vez mais urgente da ameaça:
“É apenas uma questão de tempo até que um invasor inteligente descubra como juntar todas as peças. Embora EDRs e antivírus tenham desempenhado um papel inquestionavelmente vital na defesa contra ransomware tradicional, o futuro do ransomware não envolverá mais downloads de arquivos, tornando uma solução nativa do navegador uma necessidade para combater ransomwares nativos desses browsers.”
Como o novo ataque funciona?
Ao contrário do ransomware tradicional, os ataques nativos de browser do malware não demandam o download de um arquivo, permitindo que os hackers driblem medidas convencionais de segurança.
Por sua vez, o ransomware baseado em browser explora identidades digitais, muitas vezes via processos de autenticação na nuvem, que se tornaram essenciais para as operações corporativas modernas. Segundo as descobertas da SquareX, esses ataques frequentemente envolvem agentes de IA, minimizando a necessidade de intervenção manual e técnicas de engenharia social por parte dos cibercriminosos.
A dinâmica desses ataques também pode levar um usuário a permitir que uma ferramenta de produtividade aparentemente inofensiva acesse seu e-mail. Então, através dessa porta de entrada, os hackers podem pesquisar as aplicações SaaS do usuário e comprometer sua segurança ao resetar senhas com o uso de habilidades guiadas por IA.
Tais cenários facilitam o acesso a repositórios extensivos de dados das empresas, efetivamente tomando o controle dos usuários legítimos.
É interessante destacar que serviços de compartilhamento de arquivos também estão suscetíveis, uma vez que os hackers utilizam identidades comprometidas para exfiltrar e apagar documentos. E essa tática não abrange apenas contas individuais, mas também drives compartilhados que envolvem contribuições de colegas de empresa, clientes e outros stakeholders.
Nesse cenário, essa estratégia aumenta a amplitude do ataque, já que um único deslize de um funcionário pode potencialmente expor vastos recursos de uma organização.
Por fim, essa transição para fluxos de trabalho baseados em browsers reflete a tendência de migrar a criação de dados e o armazenamento para o online, direcionando os cibercriminosos para esses alvos.
À medida que os navegadores consolidam seu status como o mais novo endpoint, as organizações devem reavaliar suas estruturas de segurança.
Assim como os sistemas de detecção e resposta de endpoints (EDR) foram essenciais para lidar com o ransomware tradicional, o fato é que uma nova solução de segurança abrangente e nativa do navegador é essencial para a resiliência futura.
Com informações de: SecurityBrief New Zealand | TechDay
Imagem: Freepik
