Últimas notícias

Fique informado

Grupo Lazarus experimenta com novo ransomware

10/08/2020

Spotlight

Lei Geral de Proteção de Dados Brasileira – LGPD começa a valer

Começa a valer nesta sexta 18 de setembro de 2020 conforme o texto aprovado pelo Senado .

18/09/2020

Como gerenciar Identidades Digitais em empresas públicas e privadas? Ouça

Sobre como gerenciar eIDs, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital.

02/09/2020

Segurança da informação: pragmatismo e estratégia para a inovação das empresas

Alguns especialistas em segurança da informação dizem que o aumento de performance gerado pela conectividade é um dos principais ganhos.

27/07/2020

Novos tempos exigem mais investimento nos profissionais de cibersegurança

A segurança da informação é um fator indissociável da competitividade das empresas e da experiência de atendimento aos clientes.

08/07/2020

O grupo de cibercrime Lazarus usa técnicas tradicionais de APT para espalhar o ransomware VHD

O grupo Lazarus sempre se destacou por usar métodos típicos de ataques do APT, mas especializado em crimes cibernéticos financeiros. Recentemente, nossos especialistas detectaram novos malwares VHD anteriormente inexplorados, com os quais o Lazarus parece estar fazendo experimentos.

Funcionalmente, o VHD é um ransomware bastante padrão. Ele percorre as unidades conectadas ao computador da vítima, criptografa arquivos e exclui todas as pastas Informações do Volume do Sistema (sabotando assim as tentativas de Restauração do Sistema no Windows).

Além disso, ele pode suspender processos que podem proteger arquivos importantes contra modificações (como Microsoft Exchange ou SQL Server).

Mas o que é realmente interessante é como o VHD chega aos computadores de destino, porque seus mecanismos de entrega têm mais em comum com os ataques APT. Nossos especialistas investigaram recentemente alguns casos de VHD, analisando as ações dos criminosos em cada um.

Movimento lateral através na rede da vítima

No primeiro incidente, a atenção de nossos especialistas foi atraída para o código malicioso responsável por espalhar o VHD pela rede de destino. Verificou-se que o ransomware tinha à disposição listas de endereços IP dos computadores da vítima, além de credenciais para contas com direitos de administrador.

Ele usou esses dados para ataques de força bruta no serviço SMB. Se o malware conseguiu se conectar usando o protocolo SMB à pasta de rede de outro computador, ele se copiou e se executou, criptografando a máquina também.

Esse comportamento não é muito típico de ransomware em massa. Isso sugere pelo menos um reconhecimento preliminar da infraestrutura da vítima, mais característico das campanhas APT.

Cadeia de infecção

Na próxima vez em que nossa Equipe Global de Resposta de Emergência encontrou esse ransomware durante uma investigação, os pesquisadores conseguiram rastrear toda a cadeia de infecção. De acordo com o que descobriram, os cibercriminosos fizeram o seguinte:

1. Obtiveram acesso aos sistemas das vítimas explorando um gateway VPN vulnerável;

2. Obtiveram direitos de administrador nas máquinas comprometidas;

3. Instalaram um backdoor;

4. Assumiram o controle do servidor do Active Directory;

5. Infectaram todos os computadores na rede com o ransomware VHD usando um carregador especialmente escrito para a tarefa.

Uma análise mais aprofundada das ferramentas empregadas mostrou que o backdoor faz parte da estrutura MATA multiplataforma (que alguns de nossos colegas chamam de Dacls). Concluímos ser outra ferramenta do Lazarus.

Você encontrará uma análise técnica detalhada dessas ferramentas, juntamente com indicadores de comprometimento, no Securelist.

Como proteger sua empresa

Os atores do ransomware VHD estão claramente acima da média quando se trata de infectar computadores corporativos com um criptor. O malware geralmente não está disponível nos fóruns de hackers; pelo contrário, foi desenvolvido especificamente para ataques direcionados.

As técnicas usadas para penetrar na infraestrutura da vítima e se propagar na rede lembram ataques sofisticados de APT.

Esse apagamento gradual das fronteiras entre ferramentas financeiras de cibercrime e ataques de APT é a prova de que empresas ainda menores precisam considerar o uso de tecnologias de segurança mais avançadas.

Com isso em mente, lançamos recentemente uma solução integrada com a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR). Você pode descobrir mais sobre esta solução nesta página.

Fonte: Kaspersky Daily

Estudo da Kaspersky revela: cibercriminosos usam ferramentas legítimas em 30% dos ataques bem-sucedidos

Crise de habilidades de carreira em cibersegurança piora pelo quarto ano consecutivo

Cibersegurança: como é uma carreira na área

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br  
+55 11 3881 0019