O grupo Ransomware pegou emprestada uma técnica bem-sucedida de outra gangue que torna mais difícil detectar quando o malware está se espalhando.

Uma das operações de ransomware cibercriminosos mais perigosas da atualidade implantou uma nova tática para ajudar os ataques a não serem detectados até que seja tarde demais, provavelmente emprestada de outro grupo de ransomware.

O que torna Maze tão perigoso é que, além de exigir uma soma de bitcoin de seis dígitos - ou mais, em troca da chave de descriptografia, eles ameaçam publicar dados internos roubados se suas exigências de extorsão não forem atendidas.

O grupo já é hábil em se infiltrar nas redes de organizações, mas agora eles adotaram uma nova tática que torna ainda mais difícil para as vítimas detectar que há estranhos na rede usando máquinas virtuais para distribuir a carga útil do ransomware.

Uma tática semelhante foi usada anteriormente pelo grupo de ransomware Ragnar Locker e parece que Maze se inspirou neles como um meio adicional de fornecer ransomware.

Os pesquisadores de segurança cibernética da Sophos descobriram as semelhanças entre as novas táticas de Maze e as técnicas pioneiras de Ragnar Locker ao investigar um ataque de ransomware Maze em julho.

Usando o acesso a um servidor de arquivos, os hackers foram capazes de entregar os componentes necessários para o ataque dentro de uma máquina virtual.

A forma como a máquina virtual foi programada sugere que os invasores já tinham uma forte influência na rede da vítima neste momento - mas, ao implantar o ransomware por meio de uma máquina virtual, ajudou a manter o ataque sob o radar até que a criptografia fosse acionada e a rede pudesse ser responsabilizado pelo resgate.

"A máquina virtual oferece aos atacantes uma máquina desprotegida para rodar livremente o ransomware sem medo de ser detectado", disse Peter McKenzie, gerente de resposta a incidentes da Sophos à ZDNet.

Maze já é um grupo de ransomware muito bem-sucedido, mas a maneira como ele adaptou suas táticas mostra que aqueles por trás dele estão continuamente tentando encontrar novas maneiras de ajudar a tornar os ataques ainda mais bem-sucedidos - e, portanto, ganhar mais dinheiro com os resgates.

"Assim como muitas das outras gangues de ransomware 'liderados por humanos' que usam uma combinação de ferramentas de hacking avançadas e técnicas humanas 'práticas' , eles são capazes de continuar tentando técnicas diferentes até que tenham sucesso ou que a organização-alvo identifique a seriedade do a ameaça e toma medidas para remediá-la ", disse McKenzie.

"Infelizmente, muitas organizações nunca tiveram que lidar com ameaças dessa natureza e estão mal preparadas para identificar um invasor humano em sua rede", acrescentou.

As organizações podem ajudar a proteger contra ataques implantados dessa forma, bloqueando o uso de aplicativos desnecessários nas máquinas, de forma que os invasores não possam explorá-los.

Outras medidas que as organizações podem tomar para evitar ser vítima de um ataque de ransomware incluem garantir que os patches de segurança sejam aplicados o mais rápido possível para evitar que os hackers explorem vulnerabilidades conhecidas para ganhar uma posição dentro da rede em primeiro lugar, enquanto as organizações também devem aplicar autenticação de fator.

Também é importante que as organizações entendam sua própria rede e saibam qual é o comportamento usual - e, portanto, qual é o comportamento incomum - para que o pessoal de segurança cibernética possa identificar com mais facilidade atividades maliciosas suspeitas.

"A proteção contra ataques de ransomware liderados por humanos requer não apenas o software de segurança mais avançado, mas também caçadores de ameaças experientes e respondentes de incidentes que podem detectar os sinais de um intruso em sua rede e tomar as medidas adequadas para conter e neutralizar a ameaça", disse McKenzie.

Fonte: ZDNet