0
0
Pelo terceiro ano consecutivo, examinamos as maiores ameaças cibernéticas do ano e as classificamos para determinar quais são as piores. De certa forma, sem surpresas, as violações relacionadas ao phishing e ao RDP continuam sendo os principais métodos que vimos os cibercriminosos usando para lançar seus ataques. Além disso, enquanto novos exemplos de malware e táticas de cibercriminosos surgem todos os dias, muitos dos mesmos jogadores antigos, como ransomware, continuam recebendo atualizações e dominando a cena.
Por exemplo, uma nova tendência no ransomware este ano é a adição de um site de vazamento/leilão de dados, onde os criminosos revelarão ou leiloarão dados que roubaram em um ataque de ransomware se a vítima se recusar a pagar. A ameaça de exposição de dados cria um incentivo adicional para que as vítimas paguem resgates, para que não enfrentem danos embaraçosos em suas reputações pessoais ou profissionais, sem mencionar multas pesadas de órgãos reguladores relacionados à privacidade, como o GDPR.
Mas a principal tendência que vamos destacar aqui é a da modularidade.
Os atores maliciosos de hoje adotaram uma metodologia de malware mais modular, na qual combinam métodos de ataque e táticas de mix-and-match para garantir o máximo de dano e/ou sucesso financeiro.
Aqui estão alguns dos personagens mais sujos e um detalhamento de como eles podem trabalhar juntos.
- Botnet Emotet + TrickBot Trojan + ransomware Conti/Ryuk – Há uma razão pela qual a Emotet liderou nossa lista por 3 anos seguidos. Mesmo que não seja uma carga de ransomware em si, é a botnet que é responsável pela maioria das infecções por ransomware, tornando-a bastante desagradável. É frequentemente visto com TrickBot, Dridex, QakBot, Conti/Ryuk, BitPaymer e REvil.
Veja como um ataque pode começar com o Emotet e terminar com
ransomware. A botnet é usada em uma campanha de spam maliciosa. Um funcionário involuntário de uma empresa recebe o e-mail de spam, acidentalmente baixa a carga maliciosa. Com o pé na porta, Emotet derruba TrickBot, um Trojan que rouba informações. TrickBot se espalha lateralmente pela rede como um worm, infectando todas as máquinas que encontra. Ele “ouve” para credenciais de login (e as rouba), com o objetivo de obter acesso em nível de domínio. A partir daí, os atacantes podem realizar reconhecimento na rede, desativar proteções e soltar ransomware Conti/Ryuk em seu lazer. - Trojan Ursnif + Trojan IcedID + Maze ransomware – Ursnif, também conhecido como Gozi ou Dreambot, é um trojan bancário que ressurgiu depois de estar adormecido por alguns anos. Em um ataque com este trio problemático, a Ursnif pode pousar em uma máquina através de um e-mail de spam malicioso, botnet ou até mesmo TrickBot, e então soltar o Trojan IcedID para melhorar as chances dos atacantes de obter as credenciais ou informações que eles querem. (Curiosamente, o IcedID foi atualizado para usar cargas esteganográficas. Esteganografia em malware refere-se a ocultar código malicioso dentro de outro arquivo, mensagem, imagem ou vídeo.) Digamos que os Trojans obtenham as credenciais RDP para a rede que infectaram. Neste cenário, os atacantes agora podem vender essas credenciais para outros maus atores e/ou implantar ransomware, normalmente Maze. (Fato divertido: Acredita-se que Maze tenha “sido pioneiro” na tendência do vazamento de dados/site de leilões.)
- Dridex/Emotet malspam + Trojan Dridex + Ransomware BitPaymer/DoppelPaymer – Como o TrickBot, o Dridex é outro Trojan bancário/de roubo de informações muito popular que existe há anos. Quando o Dridex está em jogo, ou é descartado via Emotet ou pela própria campanha de spam malicioso de seus autores. Também como o TrickBot, o Dridex se espalha lateralmente, ouve credenciais e normalmente implanta ransomware como BitPaymer/DoppelPaymer.
Como você pode ver, há uma variedade de maneiras que os ataques podem ser realizados, mas o objetivo final é mais ou menos o mesmo. Os diversos meios apenas ajudam a garantir a probabilidade de sucesso.
Os personagens mencionados acima são, de forma alguma, os únicos nomes da nossa lista. Aqui estão alguns dos outros candidatos notáveis para o Nastiest Malware.
- Sodinokibi/REvil/GandCrab ransomware – todas as iterações do mesmo ransomware, esta carga de ransomware como um serviço (RaaS) está disponível para qualquer pessoa usar, desde que os autores obtenham uma parte de quaisquer resgates bem-sucedidos.
- CrySiS/Dharma/Phobos ransomware – também cargas raaS, estas são quase exclusivamente implantadas usando credenciais RDP comprometidas que são forçadas ou facilmente adivinhadas.
- Valak – uma potente ferramenta de distribuição de malware multifuncional. Ele não só distribui malware desagradável como IcedID e Ursnif, mas também tem funcionalidades de roubo de informações incorporadas diretamente na infecção inicial.
- QakBot – um Trojan que rouba informações muitas vezes é descartado pela Emotet ou suas próprias campanhas malspam com links para sites comprometidos. É semelhante ao TrickBot e Dridex e pode ser emparelhado com o ransomware ProLock.
Combine proteções para combater ataques combinados.
Se as empresas querem se manter seguras, elas precisam implementar várias camadas de proteção contra esses tipos de ataques em camadas. Aqui estão algumas dicas de nossos especialistas.
- Bloqueie o RDP. O analista de segurança Tyler Moffitt diz que o RDP não seguro aumentou mais de 40% desde que a pandemia COVID-19 começou porque mais empresas estão permitindo que sua força de trabalho trabalhe remotamente. Infelizmente, muitos não estão fazendo isso com segurança. Ele recomenda que as empresas usem soluções RDP que criptografam os dados e usam autenticação de vários fatores para aumentar a segurança ao remoção em outras máquinas.
- Educar os usuários finais sobre phishing. O principal gerente de produto Phil Karcher ressalta que muitos dos cenários de ataque listados acima poderiam ser evitados com uma maior consciência de phishing/spam entre os usuários finais. Ele recomenda executar treinamentos regulares de segurança e simulações de phishing com feedback útil. Ele também diz que é fundamental que os funcionários saibam quando e como relatar uma mensagem suspeita.
- Instale softwares de segurança cibernética respeitáveis. O diretor de inteligência de segurança Grayson Milbourne não pode enfatizar o suficiente a importância de escolher uma solução que use inteligência de ameaças em tempo real e ofereça proteção em várias camadas para detectar e prevenir vários tipos de ataques em diferentes estágios de ataque.
- Configure um forte plano de backup e recuperação de desastres. VP de gerenciamento de produtos Jamie Zajac diz que, particularmente com uma força de trabalho majoritariamente ou totalmente remota, as empresas não podem se dar ao luxo de não ter um backup forte. Ela recomenda fortemente testes de backup regulares e configuração de alertas e relatórios regulares para que os administradores possam facilmente ver se algo está errado.
FONTE: WEBROOT