0
0
Mantenha sua resposta atualizada à medida que os atacantes ficam mais rápidos
Como a história, o ransomware se repete. Os pesquisadores encontraram recentemente uma nova variante de uma campanha de ransomware e observaram que ela tem melhorado reutilizando o código de fontes publicamente disponíveis. Vamos dar uma olhada mais de perto nessa variante, bem como no que as organizações precisam fazer para se manterem seguras à luz do cenário atual de reciclagem de ameaças.
Campanha de reciclagem de ransomware
Nokoyawa é um novo ransomware para Windows que apareceu pela primeira vez no início deste ano. As primeiras amostras encontradas pelos pesquisadores da FortiGuard foram coletadas em fevereiro de 2022 e contêm semelhanças significativas de codificação com o Karma, um ransomware que pode ser rastreado até Nemty por meio de uma longa série de variantes. A família de ransomware Nemty foi relatada pela primeira vez por esses pesquisadores em 2019.
Os pesquisadores de segurança descobriram recentemente uma nova variação desta campanha de ransomware e observaram que a variante vem melhorando reutilizando o código de fontes disponíveis publicamente. As amostras de abril de 2022 incluem três novos recursos que aumentam o número de arquivos que Nokoyawa pode criptografar. Esses recursos já existiam em famílias recentes de ransomware, e sua adição apenas indica que os desenvolvedores da Nokoyawa estão tentando combinar o ritmo com outras operadoras em termos de capacidade tecnológica.
A maior parte do código adicional foi copiada exatamente de fontes que estavam disponíveis publicamente, incluindo a fonte do agora extinto ransomware Babuk vazado em setembro de 2021. Por exemplo, os criminosos incluíram funções para interromper processos e serviços que reduzem o número de arquivos bloqueados por outros programas para que o código de criptografia possa criptografar esses arquivos. O código – incluindo uma lista de processos e nomes de serviços – é idêntico à implementação do Babuk.
Nokoyawa também inclui código para enumerar e montar volumes para criptografar os arquivos nesses volumes, o que é baseado novamente no mesmo código que vazou da fonte do Babuk. Ele exclui instantâneos de volume redimensionando o espaço alocado para instantâneos de cópias de sombra de volume para 1 byte – e como esse tamanho é insuficiente para armazenar instantâneos, o Windows os excluirá. O código parece ser plagiado a partir de uma prova de conceito disponível publicamente.
Inseguro a qualquer velocidade – e ficando mais rápido
O Nokowaya é apenas mais uma indicação de que os maus atores podem se mover mais rápido do que nunca – neste caso, modificando o malware existente com o mínimo de esforço usando código reciclado.
Não é o único exemplo que vimos. No ano passado, vimos isso acontecer com o Log4j. A vulnerabilidade crítica na estrutura de registro baseada em Java do Apache Log4j era tão simples de explorar que permitiu que os atacantes assumissem o controle total dos sistemas afetados. Em questão de dias, o Log4j se tornou a detecção de IPS mais comum no segundo semestre de 2021. Também vimos que os criminosos usaram um rebranding do DarkSide chamado BlackMatter em vários ataques à infraestrutura dos EUA.
Embora a reciclagem desse tipo não seja exatamente nova, ela está definitivamente se tornando uma tática mais popular para maus atores – com o aumento do Ransomware como Serviço tornando-o ainda mais fácil.
Duas estratégias para uma segurança mais forte
Primeiro, as organizações precisam de uma compreensão mais profunda das técnicas de ataque. Nossos pesquisadores analisaram a funcionalidade do malware que haviam detectado e criaram uma lista das táticas, técnicas e procedimentos específicos (TTPs) que o malware teria realizado se os ataques tivessem ocorrido. Essas informações demonstram que parar um invasor mais cedo é mais importante do que nunca, e que focar em alguns dos TTPs detectados pode efetivamente impedir os recursos de agressão de um malware em alguns casos.
As três principais estratégias para a fase de “execução”, por exemplo, representam 82% da atividade. Quase 95% da funcionalidade medida é representada pelas duas principais abordagens para ganhar uma posição na fase de “persistência”. Usar esta pesquisa para priorizar estratégias de segurança pode ter um impacto significativo na forma como as empresas maximizam sua proteção.
Em segundo lugar, o treinamento em higiene cibernética é uma necessidade para todos na organização, com os trabalhadores domésticos, não apenas as organizações, sendo alvos de ataques cibernéticos. Para esse fim, agora existem muitos cursos gratuitos de segurança cibernética disponíveis, incluindo programas mais avançados para profissionais de segurança cibernética. Aprender os fundamentos da guerra cibernética pode ajudar todos a defender suas organizações contra ataques. A autenticação multifatorial e a proteção por senha podem ajudar a proteger as informações pessoais dos trabalhadores remotos, e saber como detectar e-mails de phishing e esquemas de malvertising ajudará os funcionários a evitar cair nessas manobras de engenharia social.
Ficando à frente do adversário
Tudo o que é antigo é novo novamente no mundo do desenvolvimento de ransomware. Os maus atores são altamente eficientes; eles descobrem o que funcionou antes e o incorporam em suas novas variantes. É um tipo de melhor do melhor malware que ninguém, a não ser criminosos, quer ver. Ransomware como Serviço só exacerba o potencial destrutivo dessas novas variantes. Mas as organizações podem fortalecer sua postura de segurança obtendo informações detalhadas sobre as técnicas atuais de ataque e mantendo o treinamento de higiene cibernética de seus funcionários atualizado.
FONTE: SECURITYWEEK