0
0
Relatório “Quarterly Incident Reponse Threat”, da Cisco Talos, mostra que 70% dos ataques usaram trojans entregues em phishing
O ransomware é a ameaça que mais deve preocupar as equipes de segurança, e elas não podem descuidar também do phishing, porque ele é o principal vetor de entrega dos trojans que instalam as variadas ‘cepas’ de ransomware. O alerta está nas conclusões do “Quarterly Incident Reponse Threat”, da Cisco Talos Intelligence, publicado na semana passada. Os especialistas David Liebenberg e Caitlin Huey, ambos da Talos, comentaram num artigo que este é o sétimo trimestre consecutivo – somando 21 meses – em que o o relatório aponta domínio do ransomware no cenário mundial de ameaças.
Ao contrário do último trimestre, no entanto, os especialistas observam que os ataques dependeram muito de phishing, com mensagens entregando em documentos contaminados os trojans como Zloader, BazarLoader e IcedID. O relatório mostra que quase 70% dos ataques de ransomware do trimestre foram feitos por meio de trojans. O restante foi feito com ferramentas como Cobalt Strike e com outras de código aberto para pós-exploração, como Bloodhound e ferramentas nativas no sistema da vítima, como o PowerShell do Windows.
O PowerShell foi observado em quase 65 por cento de todos os ataques de ransomware, enquanto o uso do PsExec foi observado em mais de 30 por cento. Outras ferramentas observadas incluem as de uso duplo como TightVNC e CCleaner, e ferramentas de compressão, como 7-Zip e WinRAR.
Os especialistas comentam que em muitos casos do último trimestre foi difícil identificar o vetor de infecção inicial, devido a deficiências na gravação de logs. Naqueles em que o vetor inicial pôde ser identificado ou presumido, o phishing permaneceu como principal vetor de infecção pelo sétimo trimestre consecutivo. Embora a grande maioria estivesse entregando documentos contaminados, também houve casos de comprometimento do e-mail comercial: um funcionário de uma empresa de entretenimento recebeu um phishing com uma falsa página de login do Microsoft Online e digitou suas credenciais. O adversário pegou as credenciais e conseguiu se autenticar na conta do Office 365 da vítima em vários locais, contornando o MFA por meio do uso de um aplicativo legado.
FONTE: CISO ADVISOR