0
0
Investigações indicam que esse é o prazo que os hackers podem concluir todo o processo de ataque, desde obter o acesso inicial até causar danos significativos
A equipe de resposta a incidentes da Microsoft investigou os ataques de ransomware BlackByte 2.0 e expôs a velocidade assustadora e a natureza prejudicial desses ciberataques. As descobertas feitas a partir das investigações indicam que os hackers podem concluir todo o processo de ataque, desde obter o acesso inicial até causar danos significativos, em apenas cinco dias. Eles não perdem tempo e se infiltram em sistemas, criptografando dados importantes e exigindo um resgate para liberá-los. O cronograma de cinco dias representa um desafio significativo para as organizações que tentam se proteger contra as operações de ransomware.
O BlackByte é usado na fase final do ataque, usando uma chave numérica de oito dígitos para criptografar os dados. Para realizar esses ataques, os hackers usam uma poderosa combinação de ferramentas e técnicas. A investigação revelou que eles aproveitam os servidores Microsoft Exchange sem patches — uma abordagem que provou ser altamente bem-sucedida. Ao explorar essa vulnerabilidade, eles obtêm acesso inicial às redes de destino e preparam o cenário para suas atividades maliciosas.
O relatório diz que o ransomware emprega estratégias de esvaziamento de processo e evasão de antivírus para garantir a criptografia bem-sucedida e contornar a detecção. Além disso, os web shells os equipam com acesso e controle remotos, permitindo que eles mantenham uma presença nos sistemas comprometidos.
A análise também destacou a implantação de beacons Cobalt Strike, que facilitam as operações de comando e controle. Essas ferramentas sofisticadas oferecem aos invasores uma ampla gama de habilidades, tornando mais difícil para as organizações se defenderem contra eles.
Juntamente com essas táticas, a investigação descobriu várias outras práticas problemáticas usadas pelos cibercriminosos. Eles utilizam ferramentas de living-off-the-land (viver fora da terra, em tradução) para se misturar com processos legítimos e escapar da detecção.
O ransomware modifica cópias de sombra de volume em máquinas infectadas para impedir a recuperação de dados por meio de pontos de restauração do sistema. Os invasores também implantam backdoors especialmente criadas, garantindo acesso contínuo para os invasores mesmo após o comprometimento inicial. O aumento preocupante de ataques de ransomware exige ação imediata de organizações em todo o mundo.
Em resposta a essas descobertas, a Microsoft forneceu algumas recomendações práticas. As organizações são aconselhadas principalmente a implementar procedimentos robustos de gerenciamento de patches, garantindo a aplicação oportuna de atualizações críticas de segurança. Habilitar a proteção contra adulteração é outra etapa essencial, pois fortalece as soluções de segurança contra tentativas maliciosas de desativá-las ou contorná-las.
FONTE: CISO ADVISOR