Alpha Omega Tecnologia

O malware que geralmente instala ransomware e você precisa remover imediatamente

Estrela inativaEstrela inativaEstrela inativaEstrela inativaEstrela inativa
 

Se você vir qualquer uma dessas tensões de malware em suas redes corporativas, pare tudo o que estiver fazendo e audite todos os sistemas.

Já se foi o tempo em que grupos de ransomware operavam lançando campanhas de spam em massa por e-mail na esperança de infectar usuários aleatórios na Internet.

Hoje, os operadores de ransomware evoluíram de um nicho de gangues de malware desajeitadas para uma série de cartéis de crimes cibernéticos complexos com habilidades, ferramentas e orçamentos de grupos de hackers patrocinados pelo governo.

Hoje em dia, as gangues de ransomware contam com parcerias de vários níveis com outras operações do crime cibernético. Chamados de " corretores de acesso inicial " , esses grupos operam como a cadeia de suprimentos do submundo do crime, fornecendo às gangues de ransomware (e outras) acesso a grandes coleções de sistemas comprometidos.

Consistindo em endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware, esses sistemas permitem que gangues de ransomware obtenham acesso facilmente a redes corporativas, aumentem seu acesso e criptografem arquivos para exigir resgates enormes.

Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

  • Vendedores de endpoints RDP comprometidos: gangues de crimes cibernéticos estão atualmente realizando ataques de força bruta contra estações de trabalho ou servidores configurados para acesso RDP remoto que também foram deixados expostos na Internet com credenciais fracas. Esses sistemas são posteriormente vendidos nas chamadas "lojas RDP", de onde gangues de ransomware geralmente selecionam sistemas que acreditam estar localizados dentro da rede de um alvo de alto valor.
  • Vendedores de dispositivos de rede hackeados: gangues do crime cibernético também estão usando exploits para vulnerabilidades conhecidas publicamente para assumir o controle dos equipamentos de rede de uma empresa, como servidores VPN, firewalls ou outros dispositivos periféricos. O acesso a esses dispositivos e às redes internas que eles protegem / conectam é vendido em fóruns de hackers ou para gangues de ransomware diretamente.
  • Vendedores de computadores já infectados com malware: muitos dos botnets de malware atuais frequentemente vasculham os computadores que infectam em busca de sistemas em redes corporativas e, em seguida, vendem o acesso a esses sistemas de alto valor para outras operações do cibercrime, incluindo gangues de ransomware. A proteção contra esses três tipos de vetores de acesso inicial costuma ser a maneira mais fácil de evitar o ransomware.

No entanto, embora a proteção contra os dois primeiros normalmente envolva praticar boas políticas de senha e manter o equipamento atualizado, o terceiro vetor é mais difícil de proteger.

Isso ocorre porque os operadores de botnet de malware muitas vezes dependem da engenharia social para enganar os usuários para que eles próprios instalem malware em seus sistemas, mesmo se os computadores estiverem executando softwares atualizados.

Este artigo enfoca os tipos de malware conhecidos que foram usados ​​nos últimos dois anos para instalar ransomware.

Compilada com a ajuda de pesquisadores de segurança da Advanced Intelligence, Binary Defense e Sophos, a lista abaixo deve servir como um momento de "código vermelho" para qualquer organização.

Assim que qualquer uma dessas cepas de malware for detectada, os administradores de sistema devem abandonar tudo, colocar os sistemas offline e auditar e remover o malware como prioridade.

 

Emotet

é considerado o maior botnet de malware da atualidade.

Existem poucos casos em que o Emotet lidou com gangues de ransomware diretamente, mas muitas infecções de ransomware foram rastreadas até as infecções iniciais do Emotet.

Normalmente, a Emotet vendia o acesso aos seus sistemas infectados para outras gangues de malware, que mais tarde vendiam seu próprio acesso a gangues de ransomware.

Hoje, a cadeia de infecção de ransomware mais comum ligada ao Emotet é:

Emotet — Trickbot — Ryuk

Trickbot

é um botnet de malware e cibercrime semelhante ao Emotet. O Trickbot infecta suas próprias vítimas, mas também é conhecido por comprar acesso a sistemas infectados pelo Emotet para aumentar seu número.

Nos últimos dois anos, pesquisadores de segurança viram o Trickbot vender acesso a seus sistemas para gangues de cibercrimes que mais tarde implantaram o Ryuk e, mais tarde, o ransomware Conti.

Trickbot — Conti

Trickbot — Ryuk

O BazarLoader

é atualmente considerado um backdoor modular desenvolvido por um grupo com links ou que se originou da gangue principal do Trickbot. De qualquer forma, independentemente de como eles surgiram, o grupo está seguindo o modelo de Trickbt e já fez parceria com gangues de ransomware para fornecer acesso aos sistemas que infectam.

Atualmente, o BazarLoader tem sido visto como o ponto de origem para infecções com o ransomware Ryuk [ 1 , 2 , 3 ].

BazarLoader — Ryuk

QakBot

 Pinkslipbot, Qbot ou Quakbot às vezes é referido dentro da comunidade infosec como o Emotet "mais lento" porque geralmente faz o que o Emotet faz, mas alguns meses depois.

Com a gangue Emotet permitindo que seus sistemas sejam usados ​​para implantar ransomware, o QakBot também fez parceria recentemente com diferentes gangues de ransomware. Primeiro com MegaCortex, depois com ProLock e, atualmente, com a gangue de ransomware Egregor.

QakBot — MegaCortex

QakBot — ProLock

QakBot — Egregor

SDBBot

é uma cepa de malware operada por um grupo de crimes cibernéticos conhecido como TA505 .

Não é uma cepa de malware comum, mas foi vista como o ponto de origem de incidentes em que o ransomware Clop foi implantado.

SDBBot — Clop

Dridex

é mais uma gangue de trojan bancário que se reorganizou como um "downloader de malware", seguindo os exemplos dados pela Emotet e Trickbot em 2017.

Embora no passado o botnet Dridex tenha usado campanhas de spam para distribuir o ransomware Locky para usuários aleatórios em toda a Internet, nos últimos anos, eles também estão usando computadores que infectaram para lançar cepas de ransomware BitPaymer ou DoppelPaymer para ataques mais direcionados contra alvos de alto valor.

Dridex — BitPaymer

Dridex — DoppelPaymer

 

Zloader 

Uma chegada tardia ao jogo "instalar ransomware", o Zloader está se recuperando rapidamente e já estabeleceu parcerias com os operadores das variedades de ransomware Egregor e Ryuk.

Se há uma operação de malware que tem a capacidade e as conexões de se expandir, é essa.

Zloader — Egregor

Zloader — Ryuk

Buer

 ou Buer Loader, é uma operação de malware lançada no ano passado, mas já estabeleceu uma reputação e conexões no submundo do crime cibernético para fazer parceria com grupos de ransomware.

De acordo com a Sophos , alguns incidentes em que o ransomware Ryuk foi descoberto foram relacionados a infecções por Buer dias antes.

Buer-Ryuk

Phorpiex , ou Trik, é um dos botnets de malware menores, mas não menos perigoso.

As infecções com o ransomware Avaddon vistas no início deste ano foram associadas ao Phorpiex. Embora nem Avaddon nem Phorpiex sejam nomes comuns, eles devem ser tratados com o mesmo nível de atenção que Emotet, Trickbot e os outros.

Phorpiex — Avaddon

CobaltStrike

não é um botnet de malware. Na verdade, é uma ferramenta de teste de penetração desenvolvida para pesquisadores de segurança cibernética que também costuma ser usada por gangues de malware.

As empresas não são "infectadas" com CobaltStrike. No entanto, muitas gangues de ransomware implantam componentes CobaltStrike como parte de suas intrusões.

A ferramenta é freqüentemente usada como uma forma de controlar vários sistemas dentro de uma rede interna e como um precursor do ataque real de ransomware.

Muitas das cadeias de infecção listadas acima são, na verdade, [MalwareBotnet] —CobaltStrike— [Ransomware] , com CobaltStrike geralmente servindo como o intermediário mais comum entre os dois.

Incluímos CobaltStrike em nossa lista a pedido de nossas fontes, que o consideram tão perigoso quanto uma cepa de malware de fato. Se você vê-lo em sua rede e não está executando um teste de penetração, pare tudo o que estiver fazendo, coloque os sistemas off-line e audite tudo em busca de um ponto de entrada de ataque.

 

Fonte:ZDNet

Cadastre seu email e fique por dentro do munda da tecnologia