0
0
A empresa de gerenciamento de identidade de máquina Venafi publicou uma nova pesquisa a qual revela que 87% dos ransomware encontrados na dark web foram entregues por meio de macros maliciosas para infectar sistemas. O relatório é resultado de um estudo feito em colaboração com a Forensic Pathways, que entre novembro de 2021 e março deste ano analisou 35 milhões de URLs da dark web, incluindo marketplaces e fóruns, usando o Forensic Pathways Dark Search Engine.
As investigações descobriram 475 páginas da web de produtos e serviços de ransomware, ao lado de muitos grupos de alto perfil que comercializam intensivamente ransomware como serviço (RAAS). A Forensic Pathways também identificou 30 “marcas” diferentes de ransomware, com alguns nomes conhecidos, como BlackCat, Egregor, Hidden Tear e WannaCry, sendo usados com sucesso em ataques de alto perfil.
A pesquisa sugere ainda que as cepas de ransomware usadas em ataques de alto perfil exigem um preço mais alto para serviços associados. “Por exemplo, a listagem mais cara foi de US$ 1.262 para uma versão personalizada do ransomware Darkside, que foi usado no ataque ao oleoduto da Colonial Pipeline no ano passado”, diz o relatório.
Da mesma forma, as listagens de código-fonte para ransomware conhecidos geralmente custam preços mais altos, com o código-fonte Babuk listado por US$ 950 e o código-fonte Paradise sendo vendido por US$ 593.
Para contextualizar, as macros geralmente são usadas para automatizar tarefas comuns no Office, mas também podem ser exploradas por invasores para distribuir malware. Para mitigar os impactos de tais ataques, em fevereiro, a Microsoft anunciou o bloqueio padrão de macros do Office baixadas da internet, mas reverteram temporariamente essa decisão em resposta ao feedback da comunidade.
“Dado que quase qualquer um pode lançar um ataque de ransomware usando uma macro maliciosa, a indecisão da Microsoft em desabilitar macros deve assustar a todos”, disse Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi, à Infosecurity. “Embora a empresa tenha mudado de rumo pela segunda vez para desabilitar macros, o fato de haver uma reação da comunidade de usuários sugere que as macros podem persistir como um vetor de ataque maduro.”
Ao mesmo tempo, Bocek acredita que para eliminar a ameaça do ransomware habilitado para macro é suficiente usar a assinatura de código. “Usar certificados de assinatura de código para autenticar macros significa que qualquer macro não assinada não pode ser executada, interrompendo ataques de ransomware em suas trilhas”, explicou ele. “Esta é uma oportunidade para as equipes de segurança intensificarem e protegerem seus negócios, especialmente em bancos, seguros, saúde e energia, onde macros e documentos do Office são usados todos os dias para impulsionar a tomada de decisões.”
FONTE: CISO ADVISOR