0
0
O método mais amplamente usado para entrega de ransomware em 2022 foi via URL ou navegação na web (75,5%), descobriram os pesquisadores da Palo Alto Networks.
Em 2021, foram anexos de e-mail (ou seja, entrega via protocolos SMTP, POP3 e IMAP), mas em 2022 esse canal de entrega específico foi usado apenas em 12% das tentativas.
Vetores de entrega de ransomware em 2022 (Fonte: Palo Alto Networks)
“Os binários de ransomware geralmente são fornecidos a partir de sites comprometidos, o que deve servir como um lembrete para os administradores do site manterem aplicativos da Web atualizados para minimizar o impacto de vulnerabilidades conhecidas”, observaram os pesquisadores.
Aplicativos de terceiros foram o principal vetor de entrada para infecções de ransomware em 8,2% dos casos registrados pela empresa em 2022.
Truques dos invasores para evitar a detecção
A Palo Alto Networks tem rastreado e analisado URLs e nomes de host que hospedam ransomware. Com base em uma amostra aleatória pesada (7.000 URLs de 27.000 únicos), eles identificaram uma variedade de truques que as gangues de ransomware usam para impedir que esses sites sejam identificados, retirados ou bloqueados.
Os invasores foram vistos alternando diferentes URLs/nomes de host para hospedar o mesmo ransomware ou usando o mesmo URL para entregar diferentes ransomwares. Alguns invasores fazem essas duas coisas.
“O mesmo ransomware pode ser fornecido por meio de vários URLs, e o mesmo URL pode fornecer várias variantes de ransomware ou até mesmo outros tipos de malware (por exemplo, limpadores, ladrões ou carregadores)”, observaram os pesquisadores. O Racoon Stealer e o Smoke Loader são ocasionalmente usados como a primeira etapa de um ataque de ransomware.
A entrega de binários de ransomware de diferentes nomes de host provavelmente é empregada para evitar os serviços de bloqueio de URL e evitar a remoção.
As gangues de ransomware também gostam de usar hospedagem pública popular, mídia social e serviços de compartilhamento de mídia, bem como domínios benignos de longa duração que conseguiram comprometer, para entrega de ransomware.
“É provável que esses URLs caiam nas brechas de muitos serviços de bloqueio de URL existentes devido à boa reputação envolvida com esses serviços”, explicaram os pesquisadores .
FONTE: HELP NET SECURITY