0
0
Como a história, o ransomware se repete. Pesquisadores encontraram recentemente uma nova variante de uma campanha de ransomware e observaram que ela vem se aprimorando ao reutilizar código de fontes publicamente disponíveis. Vamos dar uma olhada mais de perto nessa variante, bem como no que as organizações precisam fazer para permanecerem seguras à luz do atual cenário de reciclagem de ameaças.
Campanha de reciclagem do ransomware
Nokoyawa é um novo ransomware para Windows que apareceu pela primeira vez no início deste ano. As primeiras amostras encontradas pelos pesquisadores do FortiGuard foram coletadas em fevereiro de 2022 e contêm semelhanças de codificação significativas com o Karma, um ransomware que pode ser rastreado até o Nemty por meio de uma longa série de variantes. A família de ransomware Nemty foi relatada pela primeira vez por esses pesquisadores em 2019.
Os pesquisadores de segurança descobriram recentemente uma nova variação dessa campanha de ransomware e notaram que a variante vem se aprimorando ao reutilizar código de fontes publicamente disponíveis. As amostras de abril de 2022 incluem três novos recursos que aumentam o número de arquivos que o Nokoyawa pode criptografar. Esses recursos já existiam em famílias de ransomware recentes, e sua adição apenas indica que os desenvolvedores do Nokoyawa estão tentando acompanhar o ritmo de outros operadores em termos de capacidade tecnológica.
A maior parte do código adicional foi copiada exatamente de fontes que estavam disponíveis publicamente, incluindo a fonte do agora extinto ransomware Babuk vazado em setembro de 2021. Por exemplo, os criminosos incluíam funções para interromper processos e serviços que reduzem o número de arquivos bloqueados por outros programas para que o código de criptografia possa criptografar esses arquivos. O código – incluindo uma lista de processos e nomes de serviços – é idêntico à implementação do Babuk.
Nokoyawa também inclui código para enumerar e montar volumes para criptografar os arquivos nesses volumes, que é baseado novamente no mesmo código que vazou da fonte Babuk. Ele exclui instantâneos de volume redimensionando o espaço alocado para instantâneos de cópias de sombra de volume para 1 byte – e como esse tamanho é insuficiente para armazenar instantâneos, o Windows os excluirá. O código parece ser plagiado a partir de uma prova de conceito disponível publicamente.
Inseguro a qualquer velocidade – e cada vez mais rápido
O Nokowaya é apenas mais uma indicação de que os agentes mal-intencionados podem se mover mais rápido do que nunca – neste caso , modificando o malware existente com o mínimo de esforço usando código reciclado.
Não é o único exemplo que vimos. No ano passado, vimos isso acontecer com o Log4j . A vulnerabilidade crítica na estrutura de log baseada em Java do Apache Log4j era tão simples de explorar que permitia que os invasores assumissem o controle total dos sistemas afetados. Em questão de dias, o Log4j se tornou a detecção de IPS mais comum no segundo semestre de 2021. Também vimos que os criminosos usaram um rebranding do DarkSide chamado BlackMatter em vários ataques à infraestrutura dos EUA.
Embora a reciclagem desse tipo não seja exatamente nova, está definitivamente se tornando uma tática mais popular para os maus atores – com o surgimento do Ransomware-as-a-Service tornando-o ainda mais fácil.
Duas estratégias para uma segurança mais forte
Primeiro, as organizações precisam de uma compreensão mais profunda das técnicas de ataque. Nossos pesquisadores analisaram a funcionalidade do malware detectado e criaram uma lista de táticas, técnicas e procedimentos específicos (TTPs) que o malware teria realizado se os ataques tivessem ocorrido. Essas informações demonstram que interromper um invasor antecipadamente é mais importante do que nunca e que o foco em alguns dos TTPs detectados pode efetivamente interromper os recursos de ataque de um malware em alguns casos.
As três principais estratégias para a fase de “execução”, por exemplo, representam 82% da atividade. Quase 95% da funcionalidade medida é representada pelas duas principais abordagens para ganhar uma posição na fase de “persistência”. Usar essa pesquisa para priorizar estratégias de segurança pode ter um impacto significativo em como as empresas maximizam sua proteção.
Em segundo lugar, o treinamento de higiene cibernética é uma necessidade para todos na organização, com trabalhadores domésticos, não apenas organizações, sendo alvos de ataques cibernéticos. Para esse fim, agora existem muitos cursos gratuitos de segurança cibernética disponíveis, incluindo programas mais avançados para profissionais de segurança cibernética. Aprender os fundamentos da guerra cibernética pode ajudar todos a defender suas organizações contra ataques. A autenticação multifator e a proteção por senha podem ajudar a proteger as informações pessoais dos trabalhadores remotos, e saber como identificar e-mails de phishing e esquemas de malvertising ajudará os funcionários a evitar cair nessas manobras de engenharia social.
Ficar à frente do adversário
Tudo antigo é novo novamente no mundo do desenvolvimento de ransomware. Maus atores são altamente eficientes; eles descobrem o que funcionou antes e o incorporam em suas novas variantes. É um tipo de malware melhor dos melhores que ninguém, exceto os criminosos, quer ver. Ransomware-as-a-Service apenas exacerba o potencial destrutivo dessas novas variantes. Mas as organizações podem fortalecer sua postura de segurança obtendo informações detalhadas sobre as técnicas de ataque atuais e mantendo o treinamento de higiene cibernética de seus funcionários atualizado.
FONTE: SECURITYWEEK