O malware que geralmente instala ransomware e você precisa remover imediatamente

Views: 116
0 0
Read Time:7 Minute, 18 Second

Se você vir alguma dessas cepas de malware em suas redes corporativas, pare tudo o que você está fazendo e audite todos os sistemas.

Foi-se o tempo em que grupos de ransomware operavam lançando campanhas de spam de e-mail em massa na esperança de infectar usuários aleatórios em toda a internet.

Hoje, os operadores de ransomware evoluíram de um nicho de gangues de malware desajeitadas para uma série de cartéis complexos de crimes cibernéticos com as habilidades, ferramentas e orçamentos de grupos de hackers patrocinados pelo governo.

Hoje em dia, as gangues de ransomware dependem de parcerias multinentais com outras operações de crimes cibernéticos. Chamados de “corretores de acesso iniciais“, esses grupos operam como a cadeia de suprimentos do submundo do crime, fornecendo gangues de ransomware (e outros) acesso a grandes coleções de sistemas comprometidos.

Compostos por pontos finais RDP hackeados, dispositivos de rede backdoored e computadores infectados por malware, esses sistemas permitem que as gangues de ransomware tenham acesso facilmente a redes corporativas, aumentem seu acesso e criptografem arquivos para exigir resgates enormes.

Esses corretores de acesso iniciais são uma parte crucial da cena do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

  • Vendedores de pontos finais rdp comprometidos: As gangues de crimes cibernéticos estão atualmente realizando ataques de força bruta contra estações de trabalho ou servidores configurados para acesso remoto de RDP que também foram deixados expostos na internet com credenciais fracas. Esses sistemas são posteriormente vendidos nas chamadas “lojas RDP” de onde as gangues de ransomware geralmente selecionam sistemas que acreditam estar localizados dentro da rede de um alvo de alto valor.
  • Vendedores de dispositivos de rede hackeados: As gangues de crimes cibernéticos também estão usando explorações para vulnerabilidades conhecidas publicamente para assumir o controle dos equipamentos de rede de uma empresa, como servidores VPN, firewalls ou outros dispositivos de borda. O acesso a esses dispositivos e às redes internas que eles protegem/conectam é vendido em fóruns de hackers ou para gangues de ransomware diretamente.
  • Vendedores de computadores já infectados com malware: Muitas das botnets de malware de hoje vasculham os computadores que infectam para sistemas em redes corporativas e, em seguida, vendem acesso a esses sistemas de alto valor para outras operações de crimes cibernéticos, incluindo gangues de ransomware.

Proteger contra esses três tipos de vetores de acesso iniciais é muitas vezes a maneira mais fácil de evitar ransomware.

No entanto, enquanto a proteção contra os dois primeiros normalmente envolve praticar boas políticas de senha e manter os equipamentos atualizados, o terceiro vetor é mais difícil de proteger.

Isso ocorre porque os operadores de botnet de malware geralmente dependem da engenharia social para enganar os usuários para que instalem malware em seus próprios sistemas, mesmo que os computadores estejam executando software atualizado.

Este artigo se concentra nas cepas de malware conhecidas que foram usadas nos últimos dois anos para instalar ransomware.

Compilada com a ajuda de pesquisadores de segurança da Advanced IntelligenceBinary DefenseSophos,a lista abaixo deve servir como um momento “código vermelho” para qualquer organização.

Uma vez que qualquer uma dessas cepas de malware são detectadas, os administradores do sistema devem largar tudo, tirar os sistemas off-line e auditar e remover o malware como prioridade máxima.

O ZDNet manterá a lista atualizada daqui para frente.

r-emotet.png

Emotet é considerado o maior botnet de malware da atualidade.

Há poucos casos em que a Emotet lidou diretamente com gangues de ransomware, mas muitas infecções por ransomware foram rastreadas até infecções iniciais do Emotet.

Normalmente, a Emotet vendia acesso a seus sistemas infectados para outras gangues de malware, que mais tarde vendiam seu próprio acesso a gangues de ransomware.

Hoje, a cadeia de infecção por ransomware mais comum ligada ao Emotet é: Emotet – Trickbot – Ryuk

r-trickbot.png

Trickbot é um botnet de malware e crimes cibernéticos semelhantes ao Emotet. Trickbot infecta suas próprias vítimas, mas também é conhecido por comprar acesso a sistemas infectados pela Emotet, a fim de aumentar seus números.

Nos últimos dois anos, pesquisadores de segurança viram a Trickbot vender acesso a seus sistemas para gangues de crimes cibernéticos que mais tarde implantaram Ryuk e, mais tarde, o ransomware Conti.

Trickbot -Conti
Trickbot – Ryuk

r-bazar.png

BazarLoader é atualmente considerado um backdoor modular desenvolvido por um grupo com links ou que saiu da principal gangue Trickbot. De qualquer forma, independentemente de como eles vieram a ser, o grupo está seguindo o modelo da Trickbt e já fez parceria com gangues de ransomware para fornecer acesso aos sistemas que infectam.

Atualmente, o BazarLoader tem sido visto como o ponto de origem das infecções com o ransomware Ryuk [1, 23].

BazarLoader – Ryuk

r-qbot.png

QakBot, Pinkslipbot, Qbot ou Quakbot às vezes é referido dentro da comunidade infosec como o Emotet “mais lento” porque geralmente faz o que Emotet faz, mas alguns meses depois.

Com a gangue Emotet permitindo que seus sistemas sejam usados para implantar ransomware, a QakBot também recentemente fez parcerias com diferentes gangues de ransomware. Primeiro com o MegaCortex, depois com o ProLock, e atualmente com a gangue de ransomware Egregor.

QakBot — MegaCortex
QakBot — ProLock
QakBot – Egregor

r-sdbbot.png

SDBBot é uma cepa de malware operada por um grupo de crimes cibernéticos chamado TA505.

Não é uma variedade de malware comum, mas tem sido visto como o ponto de origem dos incidentes onde o ransomware Clop foi implantado.

SDBBot – Clop

r-dridex.png

Dridex é mais uma gangue de trojans bancários que se reorganizou como um “downloader de malware”, seguindo os exemplos dados por Emotet e Trickbot em 2017.

Embora no passado a botnet Dridex tenha usado campanhas de spam para distribuir o ransomware Locky a usuários aleatórios em toda a internet, nos últimos anos, eles também estão usando computadores que infectaram para soltar o BitPaymer ou as cepas de ransomware DoppelPaymer para ataques mais direcionados contra alvos de alto valor.

Dridex — BitPaymer
Dridex — DoppelPaymer

r-zloader.png

Uma chegada tardia ao jogo “instalar ransomware”, o Zloader está se recuperando rapidamente e já estabeleceu parcerias com os operadores de estirpes de ransomware Egregor e Ryuk.

Se há uma operação de malware que tem a capacidade e conexões para expandir, é isso.

Zloader – Egregor
Zloader – Ryukhttps://platform.twitter.com/embed/index.html?creatorScreenName=ZDNet&dnt=false&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=false&id=1327309590736883712&lang=en&origin=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fthe-malware-that-usually-installs-ransomware-and-you-need-to-remove-right-away%2F&siteScreenName=ZDNet&theme=light&widgetsVersion=ed20a2b%3A1601588405575&width=550px

r-buer.png

Buer, ou Buer Loader, é uma operação de malware que foi lançada no final do ano passado, mas já estabeleceu uma reputação e conexões no submundo do crime cibernético para fazer parcerias com grupos de ransomware.

Per Sophos, alguns incidentes em que o ransomware Ryuk foi descoberto foram ligados de volta às infecções de Buer dias antes.

Buer-Ryuk

r-phorpiex.png

Phorpiex, ou Trik, é uma das botnets de malware menores, mas não menos perigosas.

Infecções com o ransomware Avaddon vistas no início deste ano foram ligadas à Phorpiex. Embora nem Avaddon nem Phorpiex sejam nomes comuns, eles devem ser tratados com o mesmo nível de atenção que Emotet, Trickbot e os outros.

Phorpiex – Avaddonhttps://platform.twitter.com/embed/index.html?creatorScreenName=ZDNet&dnt=false&embedId=twitter-widget-1&frame=false&hideCard=false&hideThread=false&id=1270245608452788224&lang=en&origin=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fthe-malware-that-usually-installs-ransomware-and-you-need-to-remove-right-away%2F&siteScreenName=ZDNet&theme=light&widgetsVersion=ed20a2b%3A1601588405575&width=550px

r-cobalt.png

CobaltStrike não é uma botnet de malware. Na verdade, é uma ferramenta de teste de penetração desenvolvida para pesquisadores de segurança cibernética que também é frequentemente abusada por gangues de malware.

As empresas não são “infectadas” com o CobaltStrike. No entanto, muitas gangues de ransomware implantam componentes CobaltStrike como parte de suas invasões.

A ferramenta é frequentemente usada como uma maneira de controlar vários sistemas dentro de uma rede interna e como um precursor do ataque real de ransomware.

Muitas das cadeias de infecção listadas acima são na verdade [MalwareBotnet]— CobaltStrike —[Ransomware],com o CobaltStrike geralmente servindo como o intermediário mais comum fazendo a ponte entre os dois.

Incluímos o CobaltStrike em nossa lista a pedido de nossas fontes, que a consideram tão perigosa quanto uma variedade de malware de fato. Se você vê-lo em sua rede e você não está executando um teste de penetração, em seguida, parar tudo o que você está fazendo, tomar sistemas off-line e auditar tudo para o ponto de entrada de um ataque.

FONTE: ZDNET

Previous post Ataques de ransomware a um em cada quatro provedores SaaS
Next post VMware corrige vulnerabilidades graves no hipervisor ESXi, Orquestrador SD-WAN

Deixe um comentário