0
0
Este ano foi mais um ano com COVID-19 e malware desenfreados nas manchetes. Seja pessoalmente ou online, o mundo ainda está lutando na luta contra vírus. Este ano tomou outro rumo medonho quando atacar infraestruturas críticas e cadeias de suprimentos se tornou uma nova tendência. Talvez porque botnets populares estavam inativo, ou talvez sejam apenas ataques patrocinados pelo estado-nação à moda antiga.
Vimos alguns grandes jogadores anteriores sairem de cena este ano, algumas férias para a praia e algumas para a prisão. De qualquer forma, 2021 foi aquele em que ameaças cibernéticas, especialmente ransomware, dominaram as notícias, revela Webroot.
A extorsão de ransomware evoluiu de uma tendência para um novo normal. Todas as principais campanhas de ransomware estão executando o método de extorsão dupla, uma perspectiva assustadora para pequenas empresas. Eles não apenas estão roubando e bloqueando arquivos, mas os maus atores absolutamente vazarão dados da maneira mais prejudicial se um acordo de resgate não for alcançado. A boa notícia é que o pagamento médio de resgate do ano passado de US$ 200.000 foi seu pico, e a média de hoje está um pouco abaixo de US$ 150.000.
A má notícia é que os hackers estão espalhando o amor e segmentando empresas de todos os tamanhos. Na verdade, a maioria das vítimas são pequenas empresas que acabam pagando cerca de US$ 50.000. Os atores de ransomware estão melhorando com suas táticas, recrutando talentos e proporcionando uma experiência de usuário simplificada. Todo o processo é terrivelmente simples e para cada um que é desligado, duas surgem para substituí-lo – assim como uma cabeça de hidra ou zumbis! Como se isto não bastasse, os ataques à cadeia de suprimentos estão se tornando um grande problema.
Phishing continua sendo a chave para essas campanhas e normalmente é o primeiro passo para comprometer um negócio para o malware mais desagradável. Isso destaca a importância da educação do usuário – afinal, todo monstro tem uma fraqueza. Você só precisa apostar um vampiro, cortar a cabeça de um zumbi ou treinar os usuários a não clicar nessas iscas de phishing ou ativar macros dos anexos – esses métodos são comprovados para parar essas criaturas (e malware) em seus rastros.
Embora a lista abaixo possa definir cargas úteis em diferentes categorias de malware, observe que muitos desses grupos de maus atores contratam trabalho de outros. Isso permitirá que cada grupo se especialize em sua respectiva carga útil e a aperfeiçoe.
2021 malware mais desagradável, em nenhuma ordem específica
LemonDuck
LemonDuck existe há apenas alguns anos como uma carga útil bem conhecida de botnet e criptografia. É uma das cargas úteis mais irritantes porque usará praticamente todos os vetores de infecção do livro, como e-mails temáticos de COVID, exploits, módulos powershell sem arquivos e força bruta. Mas em 2021 o LemonDuck se tornou mais popular e até adicionou alguns novos recursos, como roubar credenciais, remover protocolos de segurança e até mesmo soltar mais ferramentas para ataques de acompanhamento.
Para piorar as coisas, o LemonDuck atacará os sistemas Linux e o Windows, o que é útil e raro. Ele usará vulnerabilidades mais antigas para comprometer, o que pode permanecer sem correção quando as vítimas se concentrarem apenas em corrigir os vulns recentes e populares.
Uma peculiaridade interessante é que o LemonDuck remove outros hackers dos dispositivos da vítima, eliminando infecções por malware concorrentes. LemonDuck quer ser o maior e mais desagradável malware e eles até evitam novas infecções corrigindo as próprias vulnerabilidades que usavam para obter acesso. Ele extrai o XMR porque esse é o algoritmo de hash mais amigável para hardware de nível de consumidor e, portanto, garante a maior lucratividade para os cibercriminosos.
Esses lucros são instantâneos e são gerados pela conta de energia da vítima ao longo do tempo. Não há resgate exigido e, portanto, nenhum consentimento ou conhecimento do ataque/violação é necessário para a vítima – tornando isso muito desagradável.
Mal
O REvil, é claro, faz nossa lista. Todos, mesmo aqueles que não gostam de infosec, ouviram falar sobre o ataque da cadeia de suprimentos de Kaseya de julho, visando principalmente empresas americanas logo antes do feriado. Eles também atacaram inúmeras outras empresas, incluindo o fornecedor global de carne JBS. Não é surpresa que um grupo com um nome como REvil faça nossa lista ano após ano.
Você pode ter ouvido falar de ransomware chamado Gandcrab em 2018, ou Sodinokibi em 2019. Bem, é tudo o mesmo grupo e este ano eles foram/são REvil. Eles oferecem ransomware como serviço (Raas), o que significa que eles fazem a carga útil de criptografia e facilitam os sites de vazamento de extorsão na dark web.
Os afiliados conduzirão o ataque (como quiserem), usarão a carga útil do ransomware e todos os lucros serão compartilhados. Logo após o ataque de Kaseya e as reuniões subsequentes entre a Casa Branca e Vladimir Putin, os pagamentos do REvil e os locais de vazamento caíram e as ligações de cebola não funcionaram mais.
“Após informações não corroboradas, a infraestrutura do servidor REvil recebeu uma solicitação legal do governo forçando a REvil a apagar completamente a infraestrutura do servidor e desaparecer. No entanto, isso não está confirmado”, disse Vitali Kremez, da Advanced Intel.
Tal como acontece com muitos malwares desagradáveis nesta lista, REvil provavelmente não está morto (seu site de vazamento na dark web voltou a ficar online no início de setembro). Depois de fazer o que se presume ser uma boa pausa de férias, eles estão ligando sua infraestrutura novamente – então espere uma sequência.
Trickbot
Já existe há uma década como um trojan bancário popular que evoluiu para uma das botnets mais reconhecidas existentes. Usado por uma grande parte do submundo cibernético, o Trickbot está ligado a muitos grupos de ransomware devido à sua versatilidade e resiliência.
No final do outono passado, o DoD, a Microsoft e outros realizaram ataques à botnet dos grupos e quase a destruíram. Mas, como qualquer bom zumbi, eles se levantaram novamente para se tornar o principal botnet após o desligamento do Emotet.
Infecções por Trickbot quase sempre levam a ransomware. Uma vez na máquina, ela se move lateralmente através de redes, usando explorações para propagar e reunir o maior número possível de credenciais. Às vezes, leva semanas ou meses até que todas as credenciais de domínio sejam coletadas. Uma vez que eles tenham controle total do meio ambiente, eles garantem que o ransomware cause o máximo de danos com mitigações que possam falhar.
Dridex
Outro trojan bancário muito popular e infostealer que existe há anos, Dridex está intimamente ligado a ransomware como Bitpaymer/Doppelpaymer/Grief. Dridex foi descartado em máquinas da Emotet até seu desligamento, mas agora executa suas próprias campanhas de malspam.
Uma vez em uma máquina, ela também se move lateralmente através de uma rede para soltar carregadores dridex em cada máquina para criar persistência. E assim como o Trickbot, o Dridex leva seu tempo reunindo credenciais até ganhar controle total. A partir daí, eles podem causar mais danos, evitando que as estratégias de mitigação os desliguem.
Conti
Este grupo de ransomware não é estranho à nossa lista de malware mais desagradável, onde agraciou essas páginas antes como os operadores de ransomware por trás do Ryuk (que usa Emotet e Trickbot). Na verdade, eles foram o grupo de ransomware mais bem-sucedido do FBI em 2019. Embora o Conti tenha sido implantado a partir do RDP, geralmente não é forçado a bruto a partir de RDP não seguro. Na maioria das vezes, as credenciais são capturadas ou phishing em outro lugar, a partir de uma informação roubando trojans como Trickbot ou Qakbot.
Esses autores de ransomware também operam um site de violação/vazamento para intimidar ainda mais as vítimas a pagar resgates. Conti fez muitas manchetes e violou muitas grandes organizações em 2021, mas ainda não escureceu. Também notamos que o ransomware LockFile lista o endereço de e-mail de uma gangue Conti como um contato para pagamento, vinculando os dois grupos.
Greve de cobalto
Cobalt Strike é uma ferramenta de teste de caneta projetada por chapéus brancos. Seu objetivo é ajudar as equipes vermelhas a simular ataques para que hackers possam se infiltrar em um ambiente, determinar suas lacunas de segurança e fazer as alterações apropriadas. Existem vários recursos muito poderosos e úteis nesta ferramenta, como injeção de processo, escalonamento de privilégios, colheita de credenciais e hash, enumeração de rede, movimento lateral e muito mais.
Tudo isso é atraente para hackers, então não é de surpreender que tenhamos visto Cobalt Strike usado pelos bandidos MUITAS VEZES. É único para nós listarmos uma ferramenta para chapéus brancos entre os nossos malwares mais desagradáveis, mas essa ferramenta é fácil de usar para ataques escaláveis e personalizados. Não é de admirar que tantos atores de ameaças estejam adotando-a como uma das ferramentas em seu arsenal.
Menções honrosas
Olá Kitty
Este grupo recebe uma menção honrosa por causa de seu ataque único ao VMWare ESXI usando exploits. Ficou famoso por violar o CD Projekt RED e roubar seu código-fonte para jogos, mais notavelmente para CyberPunk 2077 e Witcher 3.
DarkSide
O ataque Colonial Pipeline foi o ataque mais notável de 2021, causando uma escassez de gás em cascata agravada pela compra de pânico. Ele nos lembrou o quão perturbadores os ataques de ransomware podem ser e seu hype circundante lembrava Wannacry.
O grupo RaaS alegou que não tinha intenção de atacar a infraestrutura e culpou uma afiliada pelo oleoduto. Mas apenas algumas semanas após o ataque, um RaaS semelhante surgiu chamado Matéria Negra e alegou atacar todos os ambientes, MAS instituições médicas e estaduais. Eles também alegaram que não eram as mesmas pessoas. Mas honestamente, quem acredita nisso?
Lápide (malware de desligamento)
- Emotet – Parece estar “morto morto”
- Ragnarok – Também é provável que permaneça seis pés abaixo
“Morido”, mas com certeza retornará do submundo
- REvil – Definitivamente voltando rebatizado
- DarkSide – Provavelmente já retornou renomeado como Black Matter
- Labirinto – Devolvido dos mortos como Egregor (não deve ser confundido com o assistente de Frankenstein, Igor)
- Bitpaymer/Doppelpaymer – Este grupo da Evil Corp assombra suas vítimas novamente sob o nome de Luto
FONTE: HELPNET SECURITY