Ransomware Thanos é capaz de contornar softwares de segurança e propagar automaticamente
O ransomware Thanos é um dos primeiros a surgir no mercado com sistemas que lhe permitem auto propagar-se sobre dispositivos Windows, além de ter técnicas para contornar medidas de proteção da grande maioria dos softwares de segurança existentes com proteções contra ataques ransomware.
Este ransomware encontra-se a fazer uso de uma técnica conhecida como RIPlace anti-ransomware, a qual é capaz de contornar as medidas de segurança da maioria dos programas de anti-ransomware no mercado ao alterar a forma como os ficheiros são modificados. Esta técnica foi descoberta em Novembro de 2019 pela empresa de segurança Nyotron, que mais tarde alertou várias empresas responsáveis por softwares de segurança no mercado – mas onde apenas a Kaspersky e a Carbon Black implementaram proteções contra a mesma nos seus softwares de segurança.
O Thanos é o primeiro ransomware conhecido “no mercado” como tendo implementado técnicas do RIPlace para prevenir a deteção, e assim conseguir infetar com sucesso os equipamentos das vitimas.
Além desta medida, o Thanos conta ainda com medidas para se auto propagar em sistemas Windows. O ransomware possui código destinado a analisar a rede local de sistemas infectados para identificar possíveis sistemas onde se possa infetar e encriptar assim mais dados. Se um sistema for identificado, o ransomware tenta explorar falhas conhecidas no Windows para tentar infetar o mesmo.
De notar que o Thanos é um “ransomware as a service”, ou seja, trata-se de um ransomware que se encontra a ser partilhado em fóruns da Dark Web como um serviço, e onde os atacantes recebem uma percentagem dos lucros por cada ataque realizado com sucesso pelo ransomware.