0
0
A Sophos divulgou nesta quinta-feira, seis de fevereiro, um novo relatório no SophosLabs Uncut, o ‘Living off another land: Ransomware borrows vulnerable driver to remove security software’, que mostra como cibercriminosos utilizaram, pela primeira vez na história, uma vulnerabilidade legítima própria para excluir produtos de segurança antes de executar o ransomware RobinHood.
O driver malicioso contém apenas código para ‘matar’, nada além disso. Então mesmo que o usuário tenha um computador com o sistema operacional Windows atualizado e sem vulnerabilidades conhecidas, o próprio ransomware fornece uma entrada ao invasor que o permite destruir as defesas antes de atacar.“Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares.”
“Nossa análise dos ataques de ransomware mostra o quão rápida e perigosamente a ameaça continua a evoluir”, disse Mark Loman, diretor de engenharia da Sophos. “Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares. Desativar a proteção deixa o malware livre para instalar e executar o ransomware sem interrupções”, completa o executivo.
Para evitar ataques como estes, a Sophos recomenda uma abordagem em três etapas. Primeiro, uma vez que o ransomware dos ataques analisados utiliza múltiplas técnicas e táticas, os defensores precisam utilizar uma série de tecnologias para atrapalhar o máximo possível de etapas do ataque, integrar a nuvem pública em sua estratégia de segurança e ativar funcionalidades importantes, incluindo proteção contra adulteração, no software de proteção de terminais.
Em segundo lugar, aplicar fortes práticas de segurança como autenticação multifatorial, senhas complexas, direitos de acesso limitados, atualizações constantes, backup de dados e bloquear serviços de acesso remoto vulneráveis. Por último, mas não menos importante, continuar investindo em treinamentos de segurança para os funcionários.
Para saber mais sobre os ataques e como o RobbinHood funciona, acesse o estudo ‘Living off another land: Ransomware borrows vulnerable driver to remove security software’.
FONTE: INFORCHANNEL