Últimas notícias

Fique informado

Grupo Lazarus experimenta com novo ransomware

10 de agosto de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Segurança da informação: pragmatismo e estratégia para a inovação das empresas

Alguns especialistas em segurança da informação dizem que o aumento de performance gerado pela conectividade é um dos principais ganhos.

27 de julho de 2020

Novos tempos exigem mais investimento nos profissionais de cibersegurança

A segurança da informação é um fator indissociável da competitividade das empresas e da experiência de atendimento aos clientes.

8 de julho de 2020

O grupo de cibercrime Lazarus usa técnicas tradicionais de APT para espalhar o ransomware VHD

O grupo Lazarus sempre se destacou por usar métodos típicos de ataques do APT, mas especializado em crimes cibernéticos financeiros. Recentemente, nossos especialistas detectaram novos malwares VHD anteriormente inexplorados, com os quais o Lazarus parece estar fazendo experimentos.

Funcionalmente, o VHD é um ransomware bastante padrão. Ele percorre as unidades conectadas ao computador da vítima, criptografa arquivos e exclui todas as pastas Informações do Volume do Sistema (sabotando assim as tentativas de Restauração do Sistema no Windows).

Além disso, ele pode suspender processos que podem proteger arquivos importantes contra modificações (como Microsoft Exchange ou SQL Server).

Mas o que é realmente interessante é como o VHD chega aos computadores de destino, porque seus mecanismos de entrega têm mais em comum com os ataques APT. Nossos especialistas investigaram recentemente alguns casos de VHD, analisando as ações dos criminosos em cada um.

Movimento lateral através na rede da vítima

No primeiro incidente, a atenção de nossos especialistas foi atraída para o código malicioso responsável por espalhar o VHD pela rede de destino. Verificou-se que o ransomware tinha à disposição listas de endereços IP dos computadores da vítima, além de credenciais para contas com direitos de administrador.

Ele usou esses dados para ataques de força bruta no serviço SMB. Se o malware conseguiu se conectar usando o protocolo SMB à pasta de rede de outro computador, ele se copiou e se executou, criptografando a máquina também.

Esse comportamento não é muito típico de ransomware em massa. Isso sugere pelo menos um reconhecimento preliminar da infraestrutura da vítima, mais característico das campanhas APT.

Cadeia de infecção

Na próxima vez em que nossa Equipe Global de Resposta de Emergência encontrou esse ransomware durante uma investigação, os pesquisadores conseguiram rastrear toda a cadeia de infecção. De acordo com o que descobriram, os cibercriminosos fizeram o seguinte:

1. Obtiveram acesso aos sistemas das vítimas explorando um gateway VPN vulnerável;

2. Obtiveram direitos de administrador nas máquinas comprometidas;

3. Instalaram um backdoor;

4. Assumiram o controle do servidor do Active Directory;

5. Infectaram todos os computadores na rede com o ransomware VHD usando um carregador especialmente escrito para a tarefa.

Uma análise mais aprofundada das ferramentas empregadas mostrou que o backdoor faz parte da estrutura MATA multiplataforma (que alguns de nossos colegas chamam de Dacls). Concluímos ser outra ferramenta do Lazarus.

Você encontrará uma análise técnica detalhada dessas ferramentas, juntamente com indicadores de comprometimento, no Securelist.

Como proteger sua empresa

Os atores do ransomware VHD estão claramente acima da média quando se trata de infectar computadores corporativos com um criptor. O malware geralmente não está disponível nos fóruns de hackers; pelo contrário, foi desenvolvido especificamente para ataques direcionados.

As técnicas usadas para penetrar na infraestrutura da vítima e se propagar na rede lembram ataques sofisticados de APT.

Esse apagamento gradual das fronteiras entre ferramentas financeiras de cibercrime e ataques de APT é a prova de que empresas ainda menores precisam considerar o uso de tecnologias de segurança mais avançadas.

Com isso em mente, lançamos recentemente uma solução integrada com a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR). Você pode descobrir mais sobre esta solução nesta página.

Fonte: Kaspersky Daily

Estudo da Kaspersky revela: cibercriminosos usam ferramentas legítimas em 30% dos ataques bem-sucedidos

Crise de habilidades de carreira em cibersegurança piora pelo quarto ano consecutivo

Cibersegurança: como é uma carreira na área